我正在尝试使用 FreeRADIUS 和 IPA 后端设置 EAP-TLS。我了解典型的工作流程是首先根据 LDAP 授权用户,然后使用证书对用户进行身份验证。
这个工作流程是典型的或者正确的吗?
我还了解如何配置 EAP 以进行客户端 OCSP 证书验证,以及如何使用与 IPA 目录结构相关的参数配置 LDAP 模块等。
这个问题与上面描述的工作流程以及如何配置默认和隧道内站点有关。默认站点分别有授权和身份验证部分。但是,我理解 EAP-TLS 的定义要求在隧道内进行基于证书的身份验证。
以下哪项是正确的设置:
- 忽略内部隧道并配置授权/身份验证的默认站点(分别为 LDAP / EAP)。
或者
- 授权下为LDAP配置默认站点,将身份验证留空,并配置内部隧道进行身份验证,将授权留空。
我正在尝试在这里实施最佳实践,因此如果两者都可行,那么是否存在我没有意识到的问题或安全风险?