我的問題更多是從概念的角度出發,而不是實現(儘管我問的是專有協議和產品)。
假設我在 Active Directory 中設定了使用者和憑證。使用者可以使用這些憑證登入他們的桌面。
據我了解,我可以使用 Microsoft NPS 作為 RADIUS 伺服器並配置 PEAP 模式,以便提示使用者(從無線裝置)輸入其憑證,這些憑證是從無線裝置加密傳輸的(使用伺服器數位憑證)。
1) 憑證如何從 RADIUS 伺服器傳輸到 AD(假設不同 VLAN 中的不同伺服器)?還是 RADIUS 只是一個傳遞,而 AD 可以解密憑證?
2) 如果我想改用 EAP-TLS(假設為每個無線設備頒發了用戶端憑證),用戶端憑證是否已對應到 AD 中的使用者?如果是的話,映射是在哪裡完成的,RADIUS和AD之間是如何通訊的?
答案1
NPS 作為 Radius 伺服器使用 Active Directory 執行身份驗證。
使用 PEAP (MSCHAPv2) 時,用戶端會向 Radius 伺服器發送其密碼的雜湊值。該哈希值最終會與目錄的內容進行比較(此處不解密)。您可以將 NPS 視為某種傳遞。我不明白為什麼兩者之間的通訊不能跨越 VLAN 邊界。我的猜測是 NPS 和 AD 之間的通訊是加密的
使用 EAP-TLS 時,NPS 將檢查用戶端提供的憑證並根據一組要求進行驗證(例如是否已撤銷?)。此驗證可能涉及與 AD 憑證服務的通訊(吊銷檢查)。
如果 NPS 發現憑證有效,則認為主體已通過驗證。主題在用戶端提供的憑證中命名,通常是 Active Directory 中使用者的專有名稱(這是憑證到 Active Directory 中使用者的對應)。