私の質問は、実装ではなく、概念的な観点からのものです(独自のプロトコルや製品について質問していますが)。
ActiveDirectoryにユーザーと資格情報が設定されていると仮定します。ユーザーは、これらの資格情報を使用してデスクトップにログインできます。
私が理解している限り、MicrosoftNPSをRADIUSサーバーとして使用し、PEAPモードを構成して、(ワイヤレスデバイスからの)ユーザーが資格情報の入力を求められ、暗号化されて転送されるようにすることができます(ワイヤレスデバイスからRADIUSサーバーへのサーバーデジタル証明書の使用)。
1)資格情報はRADIUSサーバーからADにどのように転送されますか(異なるVLAN内の異なるサーバーを想定)?またはRADIUS単なるパススルー)資格情報を復号化できるのはADですか?
2)代わりにEAP-TLSを使用したい場合(ワイヤレスデバイスごとにクライアント証明書が発行されたと仮定)、クライアント証明書はADのユーザーにマップされますか?もしそうなら、マッピングはどこで行われ、RADIUSとADの間の通信はどうですか?
RADIUSサーバーとしてのNPSは、ActiveDirectoryを使用して認証を実行します。
PEAP(MSCHAPv2)を使用する場合、クライアントはRADIUSサーバーにパスワードのハッシュを送信します。このハッシュは、最終的にディレクトリの内容と比較されます(ここでは復号化は行われません)。ここでは、NPSをある種のパススルーと見なすことができます。両方の間の通信がVLAN境界を越えることができなかった理由がわかりません。私の推測では、NPSとADの間の通信は暗号化されています
EAP-TLSを使用する場合、NPSはクライアントから提示された証明書を調べ、一連の要件に照らして検証します(たとえば、証明書が取り消されているかどうか)。この検証には、AD証明書サービスとの通信(失効チェック)が含まれる場合があります。
NPSが証明書が有効であると判断した場合、サブジェクトが認証されていると見なされます。サブジェクトは、クライアントによって提示された証明書で名前が付けられ、通常はActive Directory内のユーザーの識別名です(これは、Active Directory内のユーザーへの証明書のマッピングです)。