私の質問は、実装に関するものではなく、概念的な観点からのものです (独自のプロトコルや製品について質問しているにもかかわらず)。
Active Directory にユーザーと資格情報が設定されていると仮定します。ユーザーはそれらの資格情報を使用してデスクトップにログインできます。
私の理解する限りでは、Microsoft NPS を RADIUS サーバーとして使用し、PEAP モードを構成することで、ユーザー (ワイヤレス デバイスから) に資格情報の入力を求めるプロンプトが表示され、その資格情報が (サーバーのデジタル証明書を使用して) 暗号化されてワイヤレス デバイスから RADIUS サーバーに転送されるようになります。
1) 資格情報は RADIUS サーバーから AD にどのように転送されますか (異なる VLAN 内の異なるサーバーを想定)? または、RADIUS は単なるパススルーで、資格情報を復号化できるのは AD ですか?
2) 代わりに EAP-TLS を使用する場合 (各ワイヤレス デバイスに対してクライアント証明書が発行されていると想定)、クライアント証明書は AD 内のユーザーにマッピングされますか? マッピングされる場合、マッピングはどこで行われ、RADIUS と AD 間の通信はどのように行われますか?
答え1
Radius サーバーとしての NPS は、Active Directory を使用して認証を実行します。
PEAP (MSCHAPv2) を使用する場合、クライアントは RADIUS サーバーにパスワードのハッシュを送信します。このハッシュは最終的にディレクトリの内容と比較されます (ここでは復号化されません)。ここでは NPS をパススルーの一種と見なすことができます。両者間の通信が VLAN 境界を越えられない理由がわかりません。私の推測では、NPS と AD 間の通信は暗号化されています。
EAP-TLS を使用する場合、NPS はクライアントによって提示された証明書を調べ、一連の要件 (失効しているかどうかなど) に照らして検証します。この検証には、AD 証明書サービスとの通信 (失効チェック) が含まれる場合があります。
NPS は、証明書が有効であると判断すると、サブジェクトが認証されていると見なします。サブジェクトの名前は、クライアントが提示した証明書に記載されており、通常は Active Directory 内のユーザーの識別名です (これは、証明書と Active Directory 内のユーザーのマッピングです)。