FreeRADIUS по умолчанию против сайтов внутреннего туннеля и рабочего процесса EAP-TLS

Я пытаюсь настроить EAP-TLS с FreeRADIUS и бэкэндом IPA. Я понимаю, что типичным рабочим процессом является авторизация пользователя сначала по протоколу LDAP, а затем аутентификация пользователя с использованием сертификата.

Этот рабочий процесс является типичным или правильным?

Я также понимаю, как настроить EAP для проверки сертификата клиента OCSP и модуль LDAP с параметрами, относящимися к структуре каталогов IPA и т. Д.

Этот вопрос связан с описанным выше рабочим процессом и настройкой сайтов по умолчанию и внутреннего туннеля. На сайте по умолчанию есть разделы для авторизации и аутентификации соответственно. Однако я понимаю, что EAP-TLS по определению требует, чтобы аутентификация на основе сертификатов происходила во внутреннем туннеле.

Что из следующего является правильной настройкой:

1. Игнорировать внутренний туннель и настроить сайт по умолчанию для авторизации / аутентификации (LDAP / EAP, соответственно).

или же

2. Сконфигурируйте сайт по умолчанию для LDAP под авторизацией, оставив аутентификацию пустой, и настройте внутренний туннель для аутентификации, оставив авторизацию там пустой.

Я пытаюсь применить лучшие практики здесь, так что, если один из них сработает, есть ли проблема или угроза безопасности, которые я здесь не ценю?