Meine Frage bezieht sich eher auf das Konzept als auf die Implementierung (auch wenn ich nach proprietären Protokollen und Produkten frage).
Vorausgesetzt, ich habe Benutzer und Anmeldeinformationen in meinem Active Directory eingerichtet. Benutzer können sich mit diesen Anmeldeinformationen bei ihren Desktops anmelden.
Soweit ich es verstehe, kann ich Microsoft NPS als RADIUS-Server verwenden und den PEAP-Modus so konfigurieren, dass Benutzer (von einem drahtlosen Gerät) aufgefordert werden, ihre Anmeldeinformationen einzugeben, die verschlüsselt (mithilfe eines digitalen Serverzertifikats) vom drahtlosen Gerät an den RADIUS-Server übertragen werden.
1) Wie werden die Anmeldeinformationen vom RADIUS-Server an das AD übertragen (vermutlich verschiedene Server in verschiedenen VLANs)? Oder ist der RADIUS nur ein Pass-Through und das AD kann die Anmeldeinformationen entschlüsseln?
2) Wenn ich stattdessen EAP-TLS verwenden möchte (vorausgesetzt, für jedes drahtlose Gerät wurde ein Client-Zertifikat ausgestellt), wird das Client-Zertifikat dann einem Benutzer in AD zugeordnet? Wenn ja, wo erfolgt die Zuordnung und wie erfolgt die Kommunikation zwischen RADIUS und AD?
Antwort1
NPS als Radius-Server verwendet das Active Directory zur Durchführung der Authentifizierung.
Bei Verwendung von PEAP (MSCHAPv2) sendet der Client dem Radius-Server einen Hash seines Passworts. Dieser Hash wird schließlich mit dem Inhalt des Verzeichnisses verglichen (hier erfolgt keine Entschlüsselung). Man könnte NPS hier als eine Art Passthrough betrachten. Ich sehe nicht, warum die Kommunikation zwischen beiden nicht VLAN-Grenzen überschreiten könnte. Ich vermute, dass die Kommunikation zwischen NPS und AD verschlüsselt ist.
Bei Verwendung von EAP-TLS prüft NPS das vom Client vorgelegte Zertifikat und verifiziert es anhand einer Reihe von Anforderungen (z. B. wurde es widerrufen oder nicht?). Diese Überprüfung kann eine Kommunikation mit AD-Zertifikatdiensten (Widerrufsprüfung) beinhalten.
Wenn NPS feststellt, dass das Zertifikat gültig ist, wird davon ausgegangen, dass das Subjekt authentifiziert ist. Das Subjekt wird im vom Client vorgelegten Zertifikat benannt und ist normalerweise der Distinguished Name des Benutzers in Active Directory (dies ist die Zuordnung des Zertifikats zum Benutzer in Active Directory).