Minha pergunta é mais do ponto de vista conceitual do que de implementação (embora eu esteja perguntando sobre protocolos e produtos proprietários).
Supondo que eu tenha usuários e credenciais configurados no meu Active Directory. Os usuários podem fazer login em seus desktops usando essas credenciais.
Pelo que entendi, posso usar o Microsoft NPS como um servidor RADIUS e configurar o modo PEAP para que os usuários (de um dispositivo sem fio) sejam solicitados a inserir suas credenciais, que são transferidas criptografadas (usando um certificado digital do servidor) do wireless dispositivo para o servidor RADIUS.
1) Como as credenciais são transferidas do servidor RADIUS para o AD (suponha servidores diferentes em VLANS diferentes)? Ou o RADIUS é apenas uma passagem e é o AD que pode descriptografar as credenciais?
2) Se eu quiser usar o EAP-TLS (assumindo que um certificado de cliente foi emitido para cada dispositivo sem fio), o certificado do cliente é mapeado para um usuário no AD? Se sim, onde é feito o mapeamento e como é a comunicação entre o RADIUS e o AD?
Responder1
O NPS como servidor Radius usa o Active Directory para realizar a autenticação.
Ao usar PEAP (MSCHAPv2), o cliente envia ao servidor radius um hash de sua senha. Este hash é eventualmente comparado ao conteúdo do diretório (sem descriptografia aqui). Você poderia considerar o NPS como uma espécie de passagem aqui. Não vejo por que a comunicação entre os dois não conseguiu ultrapassar os limites da VLAN. Meu palpite é que as comunicações entre NPS e AD são criptografadas
Ao usar o EAP-TLS, o NPS examinará o certificado apresentado pelo cliente e o verificará em relação a um conjunto de requisitos (por exemplo, ele foi revogado ou não?). Esta verificação pode envolver a comunicação com os Serviços de Certificados AD (verificação de revogação).
Se o NPS descobrir que o certificado é válido, considera que o assunto está autenticado. O assunto é nomeado no certificado apresentado pelo cliente e normalmente é o Nome Distinto do usuário no Active Directory (este é o mapeamento do certificado para o usuário no Active Directory).