내 질문은 구현보다는 개념적 관점에 관한 것입니다(비록 독점 프로토콜과 제품에 대해 질문하고 있지만).
내 Active Directory에 사용자와 자격 증명이 설정되어 있다고 가정합니다. 사용자는 해당 자격 증명을 사용하여 데스크톱에 로그인할 수 있습니다.
제가 이해하는 한, Microsoft NPS를 RADIUS 서버로 사용하고 PEAP 모드를 구성하여 사용자(무선 장치에서)에게 자격 증명을 입력하라는 메시지가 표시되도록 할 수 있습니다. 자격 증명은 무선 장치에서 서버 디지털 인증서를 사용하여 암호화되어 전송됩니다. 장치를 RADIUS 서버에 연결합니다.
1) 자격 증명은 RADIUS 서버에서 AD로 어떻게 전송됩니까(다른 VLAN의 다른 서버를 가정)? 아니면 RADIUS는 단지 통과이고 자격 증명을 해독할 수 있는 AD입니까?
2) 대신 EAP-TLS를 사용하려는 경우(각 무선 장치에 대해 클라이언트 인증서가 발급되었다고 가정) 클라이언트 인증서가 AD의 사용자에 매핑됩니까? 그렇다면 매핑은 어디서 이루어지며 RADIUS와 AD 간의 통신은 어떻게 이루어지나요?
답변1
Radius 서버인 NPS는 Active Directory를 사용하여 인증을 수행합니다.
PEAP(MSCHAPv2)를 사용하는 경우 클라이언트는 Radius 서버에 해당 비밀번호의 해시를 보냅니다. 이 해시는 결국 디렉터리의 내용과 비교됩니다(여기서는 암호 해독 없음). 여기서는 NPS를 일종의 패스스루로 간주할 수 있습니다. 둘 사이의 통신이 VLAN 경계를 넘을 수 없는 이유를 알 수 없습니다. 내 추측으로는 NPS와 AD 간의 통신이 암호화되어 있는 것 같습니다.
EAP-TLS를 사용할 때 NPS는 클라이언트가 제시한 인증서를 검사하고 요구 사항 집합(예: 인증서가 해지되었는지 여부)에 따라 확인합니다. 이 확인에는 AD 인증서 서비스와의 통신(해지 확인)이 포함될 수 있습니다.
NPS는 인증서가 유효하다고 판단하면 주체가 인증된 것으로 간주합니다. 주체는 클라이언트가 제시한 인증서에 이름이 지정되며 일반적으로 Active Directory에 있는 사용자의 고유 이름입니다. 이는 Active Directory에 있는 사용자에 대한 인증서 매핑입니다.