Назад | Перейти на главную страницу

FreeRADIUS по умолчанию, сайты с внутренним туннелем и рабочий процесс EAP-TLS

Я пытаюсь настроить EAP-TLS с помощью FreeRADIUS и бэкэнда IPA. Я понимаю, что типичный рабочий процесс - сначала авторизовать пользователя по LDAP, а затем аутентифицировать пользователя с помощью сертификата.

Этот рабочий процесс типичный или правильный?

Я также понимаю, как настроить EAP для проверки сертификата клиента OCSP и модуль LDAP с параметрами, соответствующими структуре каталогов IPA и т. Д.

Этот вопрос касается рабочего процесса, описанного выше, и того, как настроить сайты по умолчанию и сайты с внутренним туннелем. На сайте по умолчанию есть разделы для авторизации и аутентификации соответственно. Однако я понимаю, что EAP-TLS по определению требует, чтобы аутентификация на основе сертификатов происходила во внутреннем туннеле.

Что из следующего является правильной настройкой:

  1. Игнорируйте внутренний туннель и настройте сайт по умолчанию для авторизации / аутентификации (LDAP / EAP соответственно).

или

  1. Настройте сайт по умолчанию для LDAP при авторизации, оставив поле аутентификации пустым, и настройте внутренний туннель для аутентификации, оставив поле авторизации пустым.

Я пытаюсь внедрить здесь лучшие практики, поэтому, если что-то сработает, есть ли проблема или угроза безопасности, которые я здесь не понимаю?