一. 应用场景分析
在上述分析“PEAP-MSCHAPV2协议与身份源兼容性”时发现,PEAP-MSCHAPV2不支持“远程Radius服务器(终结成PAP方式)、远程数据库联动、远程WEB服务联动、通用LDAP服务器”。而这些身份源又是SMP客户常用对接的身份源,若是部署无感知,则不支持移动终端自带802.1x原生客户端的认证。这将大大降低用户的体验。
因此,基于PEAP-GTC认证协议的无感知存在必要性。
二. PEAP-GTC认证原理流程
移动终端用户只需点击SSID,输入用户名密码,接收一张服务器下发的证书,即可完成认证。该协议支持获取到用户的明文密码,因此可做到与外部第三方身份中心的对接,同时也支持客户端校验服务器证书(该步骤为客户端的可选步骤)。
三. 终端验证AAA服务器证书分析
同PEAP-MSCHAPV2方案。
四. PEAP-GTC身份源兼容性
|
身份源 |
是否支持PEAP-GTC协议认证 |
|
SMP本地用户(普通用户) |
|
|
Windows AD域 |
|
|
远程Radius服务器(转发方式) |
|
|
远程Radius服务器(终结成PAP方式) |
|
|
远程数据库联动 |
|
|
远程WEB服务联动 |
|
|
通用LDAP服务器 |
|
注:虽然PEAP-GTC协议支持与所有身份源的对接,但是其安全性不如PEAP-MSCHAPV2。且需要在windows系列系统中安装认证插件,影响了用户体验。