Mi pregunta es más desde un punto de vista conceptual que de implementación (aunque estoy preguntando sobre protocolos y productos propietarios).
Suponiendo que tengo usuarios y credenciales configurados en mi Active Directory. Los usuarios pueden iniciar sesión en sus escritorios utilizando esas credenciales.
Según tengo entendido, puedo usar Microsoft NPS como servidor RADIUS y configurar el modo PEAP para que a los usuarios (desde un dispositivo inalámbrico) se les solicite que ingresen sus credenciales, que se transfieren encriptadas (usando un certificado digital de servidor) desde la red inalámbrica. dispositivo al servidor RADIUS.
1) ¿Cómo se transfieren las credenciales del servidor RADIUS al AD (suponiendo diferentes servidores en diferentes VLAN)? ¿O el RADIUS es solo un paso y es el AD el que puede descifrar las credenciales?
2) Si quiero usar EAP-TLS en su lugar (suponiendo que se haya emitido un certificado de cliente para cada dispositivo inalámbrico), ¿el certificado de cliente se asigna a un usuario en AD? Si es así, ¿dónde se realiza el mapeo y cómo es la comunicación entre RADIUS y AD?
Respuesta1
NPS como servidor Radius utiliza Active Directory para realizar la autenticación.
Cuando se utiliza PEAP (MSCHAPv2), el cliente envía al servidor Radius un hash de su contraseña. Este hash finalmente se compara con el contenido del directorio (aquí no hay descifrado). Se podría considerar NPS como una especie de transferencia aquí. No veo por qué la comunicación entre ambos no pudo cruzar los límites de la VLAN. Supongo que las comunicaciones entre NPS y AD están cifradas.
Cuando se utiliza EAP-TLS, NPS examinará el certificado presentado por el cliente y lo verificará según un conjunto de requisitos (por ejemplo, ¿ha sido revocado o no?). Esta verificación puede implicar comunicación con AD Certificate Services (verificación de revocación).
Si NPS determina que el certificado es válido, considera que el sujeto está autenticado. El asunto se nombra en el certificado presentado por el cliente y normalmente es el nombre distinguido del usuario en Active Directory (esta es la asignación del certificado al usuario en Active Directory).