Versions Compared

Old Version 4

changes.mady.by.user Anton Vinokurov

Saved on

compared with

New Version 5

changes.mady.by.user Anton Vinokurov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. Абонентское устройство подключается к сети (ассоциируется с точкой доступа или активирует порт коммутатора ЛВС)
  2. Абонентское устройство посредством протокола EAPOL сообщает точек точке доступа/коммутатору о том, что хочет выполнить 802.1х авторизацию 
  3. В беспроводной среде точка доступа всего лишь пересылает данные на контроллер, который становится посредником между клиентом, и аутентификатором - сервером WNAM
  4. Контроллер БЛВС или коммутатор ЛВС инкапсулируют данные от клиента в протокол EAP, и далее в виде пакетов RADIUS передают их серверу авторизации WNAM
  5. Абонентское устройство устанавливает TLS-подключение с сервером WNAM внутри EAPOL-RADIUS туннеля. При этом обязательно используется сертификат RADIUS-сервера (который необходимо создать или установить в WNAM при его настройке). Если это не доверенный сертификат, абоненту будет предложено его принять к доверию.
    1. Для EAP-PEAP авторизации (по логину-паролю) у абонента нет сертификата; TLS-соединение при этом примерно такое же, как при работе браузера с веб-сервером.
    2. Для EAP-TLS авторизации (по сертификату) абонентский сертификат должен быть заранее загружен в устройство абонента, и помещен в "доверенные" или "личные". TLS-соединение при этом примерно такое же, как при работе с ЭЦП на токене, только алгоритмы используются не ГОСТ, а RSA.
  6. Для EAP-PEAP авторизации внутри TLS-туннеля организуется MSCHAP-авторизация, связанная с передачей хэшей пароля клиента, и хэша ответа. В принципе, MSCHAP - не достаточно недостаточно надежен сам по себе, но внутри TLS туннеля проблемы безопасности нет. Локально, или через контроллер домена, проверяются права абонента.
  7. Для EAP-TLS авторизации достаточно проверки действительности сертификата клиента. Дополнительных проверок (как в, например, EAP-TTLS) нет.
  8. На основе данных, имеющихся в сертификате, Active Directory и в соответствии с настроенными политиками и правилами WNAM принимает решение о допуске абонента в сеть, передаёт дополнительные RADIUS-атрибуты вроде VLAN ID, а также MPPE-ключи, которые используются, в том числе, для шифрования клиентского трафика в беспроводных сетях.
  9. WNAM отправляет RADIUS-ответ, контроллер или коммутатор допускают абонента в сеть, активируя порт и применяя ключи или атрибуты из ответа. 
  10. Коммутатором или контроллером запускается RADIUS-аккаунтинг.

...