我的问题更多是从概念的角度,而不是实施的角度(尽管我问的是专有协议和产品)。
假设我在 Active Directory 中设置了用户和凭据。用户可以使用这些凭据登录到他们的桌面。
据我了解,我可以使用 Microsoft NPS 作为 RADIUS 服务器并配置 PEAP 模式,以便提示用户(来自无线设备)输入他们的凭据,这些凭据以加密形式(使用服务器数字证书)从无线设备传输到 RADIUS 服务器。
1) 凭证如何从 RADIUS 服务器传输到 AD(假设不同的服务器位于不同的 VLAN 中)?还是 RADIUS 只是一个通道,而 AD 可以解密凭证?
2) 如果我想改用 EAP-TLS(假设为每个无线设备颁发了客户端证书),客户端证书是否会映射到 AD 中的用户?如果是,映射在哪里完成,RADIUS 和 AD 之间的通信如何?
答案1
NPS 作为 Radius 服务器使用 Active Directory 来执行身份验证。
使用 PEAP (MSCHAPv2) 时,客户端会向 radius 服务器发送其密码的哈希值。最终会将此哈希值与目录的内容进行比较(此处不解密)。您可以将 NPS 视为某种直通方式。我不明白为什么两者之间的通信不能跨越 VLAN 边界。我猜 NPS 和 AD 之间的通信是加密的
使用 EAP-TLS 时,NPS 将检查客户端提供的证书并根据一组要求对其进行验证(例如,该证书是否已被撤销?)。此验证可能涉及与 AD 证书服务的通信(撤销检查)。
如果 NPS 发现证书有效,则认为主体已通过身份验证。主体在客户端提供的证书中命名,通常是 Active Directory 中用户的可分辨名称(这是证书到 Active Directory 中用户的映射)。