Назад | Перейти на главную страницу

EAP-TLS для беспроводной сети с Active Directory

Мой вопрос больше с концептуальной точки зрения, чем с реализацией (хотя я спрашиваю о проприетарных протоколах и продуктах).

Предполагая, что у меня есть пользователи и учетные данные, настроенные в моем Active Directory. Пользователи могут войти на свои рабочие столы, используя эти учетные данные.

Насколько я понимаю, я могу использовать Microsoft NPS в качестве сервера RADIUS и настроить режим PEAP так, чтобы пользователям (с беспроводного устройства) предлагалось ввести свои учетные данные, которые передаются в зашифрованном виде (с использованием цифрового сертификата сервера) по беспроводной сети. устройство к серверу RADIUS.

1) Как учетные данные передаются с сервера RADIUS в AD (предположим, что разные серверы находятся в разных VLANS)? Или RADIUS - это просто проход, и именно AD может расшифровать учетные данные?

2) Если я хочу использовать вместо этого EAP-TLS (при условии, что сертификат клиента был выпущен для каждого беспроводного устройства), сопоставляется ли сертификат клиента с пользователем в AD? Если да, то где выполняется сопоставление и как осуществляется связь между RADIUS и AD?

NPS в качестве сервера Radius использует Active Directory для проверки подлинности.

  1. При использовании PEAP (MSCHAPv2) клиент отправляет RADIUS-серверу хэш своего пароля. Этот хеш в конечном итоге сравнивается с содержимым каталога (здесь нет расшифровки). Вы можете рассматривать NPS как своего рода сквозной переход. Я не понимаю, почему связь между ними не может пересекать границы VLAN. Я предполагаю, что связь между NPS и AD зашифрована.

  2. При использовании EAP-TLS сервер политики сети проверит сертификат, представленный клиентом, и проверит его на соответствие набору требований (например, был ли он отозван или нет?). Эта проверка может включать обмен данными со службами сертификации AD (проверка отзыва).

    Если NPS обнаруживает, что сертификат действителен, он считает, что субъект аутентифицирован. Субъект указан в сертификате, представленном клиентом, и обычно представляет собой отличительное имя пользователя в Active Directory (это сопоставление сертификата с пользователем в Active Directory).