Я пытаюсь настроить EAP-TLS с помощью FreeRADIUS и бэкэнда IPA. Я понимаю, что типичный рабочий процесс - сначала авторизовать пользователя по LDAP, а затем аутентифицировать пользователя с помощью сертификата.
Этот рабочий процесс типичный или правильный?
Я также понимаю, как настроить EAP для проверки сертификата клиента OCSP и модуль LDAP с параметрами, соответствующими структуре каталогов IPA и т. Д.
Этот вопрос касается рабочего процесса, описанного выше, и того, как настроить сайты по умолчанию и сайты с внутренним туннелем. На сайте по умолчанию есть разделы для авторизации и аутентификации соответственно. Однако я понимаю, что EAP-TLS по определению требует, чтобы аутентификация на основе сертификатов происходила во внутреннем туннеле.
Что из следующего является правильной настройкой:
или
Я пытаюсь внедрить здесь лучшие практики, поэтому, если что-то сработает, есть ли проблема или угроза безопасности, которые я здесь не понимаю?