Мой вопрос скорее касается концептуальной точки зрения, а не реализации (хотя я и спрашиваю о фирменных протоколах и продуктах).
Предположим, что у меня есть пользователи и учетные данные, настроенные в моем Active Directory. Пользователи могут входить в свои рабочие столы, используя эти учетные данные.
Насколько я понимаю, я могу использовать Microsoft NPS в качестве сервера RADIUS и настроить режим PEAP таким образом, чтобы пользователям (с беспроводного устройства) предлагалось ввести свои учетные данные, которые передавались бы в зашифрованном виде (с использованием цифрового сертификата сервера) с беспроводного устройства на сервер RADIUS.
1) Как учетные данные передаются с сервера RADIUS в AD (предположим, что разные серверы в разных VLAN)? Или RADIUS — это просто сквозной канал, а расшифровать учетные данные может AD?
2) Если я хочу использовать EAP-TLS вместо этого (предполагая, что для каждого беспроводного устройства был выпущен клиентский сертификат), сопоставляется ли клиентский сертификат с пользователем в AD? Если да, то где выполняется сопоставление и как осуществляется связь между RADIUS и AD?
решение1
NPS как сервер Radius использует Active Directory для выполнения аутентификации.
При использовании PEAP (MSCHAPv2) клиент отправляет на сервер радиуса хэш своего пароля. Этот хэш в конечном итоге сравнивается с содержимым каталога (здесь нет расшифровки). Вы можете рассматривать NPS как своего рода транзитную зону. Я не понимаю, почему связь между ними не может пересекать границы VLAN. Я предполагаю, что связь между NPS и AD зашифрована
При использовании EAP-TLS NPS проверяет сертификат, представленный клиентом, и проверяет его на соответствие набору требований (например, был ли он отозван или нет?). Эта проверка может включать связь со службами сертификации AD (проверка отзыва).
Если NPS обнаруживает, что сертификат действителен, то он считает, что субъект аутентифицирован. Субъект назван в сертификате, представленном клиентом, и обычно является Distinguished Name пользователя в Active Directory (это сопоставление сертификата с пользователем в Active Directory).