Supongamos que un servidor NPS está autentificando usuarios de un AD a través de EAP-TLS.
Cuando el cliente envía su certificado, ¿el servidor NPS verifica realmente si este certificado pertenece al usuario en el Nombre del sujeto del certificado o solo verifica si el certificado es válido?
I.E. : ¿Puede el servidor NPS diferenciar entre el certificado de un administrador y el certificado de un usuario menos privilegiado o todos tienen el mismo aspecto?
NPS hace autenticación. Así que comprueba:
Si el certificado es generalmente válido (cadena confiable, revocación, políticas, etc.)
Si el emisor del certificado es elegible para emitir certificados de autenticación de cliente
Si el sujeto (el valor UPN en la extensión de SAN para ser más precisos) coincide con cualquier entidad en AD.
Si se pasan todas las comprobaciones, el certificado se asigna a una cuenta de usuario real.
Lea otras preguntas en las etiquetas certificates certificate-authority radius