EAP-TLS para Wireless com o Active Directory

2

Minha pergunta é mais do ponto de vista conceitual, em vez de implementação (mesmo que eu esteja perguntando sobre protocolos e produtos proprietários).

Supondo que eu tenha usuários e credenciais configurados no meu Active Directory. Os usuários podem fazer login em suas áreas de trabalho usando essas credenciais.

Pelo que entendi, posso usar o Microsoft NPS como servidor RADIUS e configurar o modo PEAP para que os usuários (de um dispositivo sem fio) sejam solicitados a inserir suas credenciais, que são transferidas criptografadas (usando um certificado digital do servidor) do dispositivo sem fio para o servidor RADIUS.

1) Como as credenciais são transferidas do servidor RADIUS para o AD (assumir servidores diferentes em VLANs diferentes)? Ou o RADIUS é apenas um pass-through e é o AD que pode descriptografar as credenciais?

2) Se eu quiser usar o EAP-TLS (assumindo que um certificado de cliente foi emitido para cada dispositivo sem fio), o certificado do cliente é mapeado para um usuário no AD? Em caso afirmativo, onde o mapeamento é feito e como é a comunicação entre o RADIUS e o AD?

    
por AndreCruz 22.06.2015 / 23:12

1 resposta

3

O servidor NPS as Radius usa o Active Directory para executar a autenticação.

  1. Ao usar o PEAP (MSCHAPv2), o cliente envia ao servidor radius um hash da sua senha. Este hash é eventualmente comparado com o conteúdo do diretório (sem descriptografia aqui). Você poderia considerar o NPS como uma espécie de repasse aqui. Não consigo ver por que a comunicação entre os dois não conseguiu ultrapassar os limites da VLAN. Meu palpite é que as comunicações entre o NPS e o AD são criptografadas

  2. Ao usar o EAP-TLS, o NPS examinará o certificado apresentado pelo cliente e o verificará em relação a um conjunto de requisitos (por exemplo, ele foi revogado ou não?). Essa verificação pode envolver comunicação com os Serviços de Certificados do AD (verificação de revogação).

    Se o NPS descobrir que o certificado é válido, ele considerará que o assunto está autenticado. O assunto é nomeado no certificado apresentado pelo cliente e normalmente é o nome distinto do usuário no Active Directory (esse é o mapeamento do certificado para o usuário no Active Directory).

por 25.06.2015 / 12:14