带有Active Directory的EAP-TLS for Wireless

我的问题更多的是从概念的angular度来看,而不是实现(即使我在询问专有协议和产品)。

假设我有我的Active Directory中设置的用户和凭据。 用户可以使用这些凭据login到他们的桌面。

据我所知,我可以使用Microsoft NPS作为RADIUS服务器,并configurationPEAP模式,以便用户(来自无线设备)被提示input他们的凭证,这些凭证是通过无线方式encryption传输的(使用服务器数字证书)设备到RADIUS服务器。

1)如何从RADIUS服务器传输到AD的凭据(假设不同的服务器在不同的VLAN中)? 或者,RADIUS只是一个传递,它是可以解密证书的AD?

2)如果我想使用EAP-TLS来代替(假设为每个无线设备颁发了客户端证书),那么客户端证书是否映射到AD中的用户? 如果是的话,映射在哪里进行,RADIUS和AD之间的通信如何?

NPS作为Radius服务器使用Active Directory执行身份validation。

  1. 当使用PEAP(MSCHAPv2)时,客户端向radius服务器发送密码的散列。 这个散列最终与目录的内容进行比较(这里没有解密)。 你可以把NPS当作某种直通方式。 我看不出为什么两者之间的通信不能跨越VLAN边界。 我的猜测是NPS和AD之间的通信是encryption的

  2. 当使用EAP-TLS时,NPS将检查客户提交的证书,并根据一系列要求进行validation(例如是否已被撤销)。 此validation可能涉及与AD证书服务(撤销检查)的通信。

    如果NPS发现该证书是有效的,则认为该主题已被authentication。 主题在客户端提供的证书中进行命名,通常是Active Directory中用户的专有名称(这是将证书映射到Active Directory中的用户)。