Supponiamo che un server NPS stia autenticando gli utenti di un annuncio tramite EAP-TLS.
Quando il client invia il suo certificato, il server NPS controlla effettivamente se questo certificato appartiene all'utente nel Nome soggetto del certificato o controlla solo se il certificato è valido?
I.E. : il server NPS può distinguere tra il certificato di un amministratore e il certificato di un utente con privilegi meno elevati oppure tutti hanno lo stesso aspetto?
NPS esegue l'autenticazione. Quindi controlla:
Se il certificato è generalmente valido (catena di fiducia, revoca, politiche, ecc.)
Se l'emittente del certificato è idoneo a emettere certificati di autenticazione client
Se l'oggetto (il valore UPN nell'estensione SAN è più preciso) corrisponde a qualsiasi entità in AD.
Se vengono superati tutti i controlli, il certificato viene mappato su un account utente effettivo.
Leggi altre domande sui tag certificates certificate-authority radius