EAP (Extensible Authentication-Protokoll) erweitert PPP (Point-to-Point-Protokoll) um zufällige Authentifizierungsmethoden, bei denen Anmeldeinformationen und Informationen mit zufälliger Länge ausgetauscht werden. Durch EAP werden Authentifizierungsmethoden bereitgestellt, bei denen Sicherheitsgeräte wie beispielsweise Smartcards, Tokenkarten und Kryptografierechner verwendet werden. EAP bietet eine Industriestandardarchitektur für die Unterstützung zusätzlicher Authentifizierungsmethoden in PPP.
EAP und NPS
Mithilfe von EAP können zusätzliche Authentifizierungsschemas unterstützt werden, die als EAP-Typen bezeichnet werden. Zu diesen Schemas zählen Tokenkarten, Einmalkennwörter, Authentifizierung mit einem öffentlichen Schlüssel mithilfe von Smartcards sowie Zertifikate. EAP ist in Verbindung mit sicheren EAP-Typen eine wichtige Technologiekomponente für sichere VPN-Verbindungen, 802.1X-Kabelverbindungen und 802.1X-Drahtlosverbindungen. Der Netzwerkzugriffsclient und der Authentifikator (beispielsweise der Netzwerkrichtlinienserver (Network Policy Server, NPS) müssen den gleichen EAP-Typ unterstützen, damit eine Authentifizierung erfolgen kann.
 | Wichtig |
|
Sichere EAP-Typen, wie beispielsweise jene auf Zertifikatbasis, bieten mehr Sicherheit vor Brute-Force- oder Wörterbuchangriffen und Kennwortermittlung als kennwortbasierte Authentifizierungsprotokolle, wie beispielsweise CHAP (Challenge Handshake Authentication-Protokoll) oder MS-CHAP (Microsoft Challenge Handshake Authentication-Protokoll). |
Bei Verwendung von EAP wird eine RAS-Verbindung durch einen zufälligen Authentifizierungsmechanismus authentifiziert. Das Authentifizierungsschema, das verwendet werden soll, wird vom RAS-Client und dem Authentifikator (entweder ein Netzwerkzugriffsserver oder ein RADIUS-Server) ausgehandelt. Routing und RAS enthält standardmäßig Unterstützung für EAP-TLS (Extensible Authentication-Protokoll-Transport Layer Security) und PEAP-MS-CHAP v2. Auf dem Server, auf dem Routing und RAS ausgeführt wird, können andere EAP-Module als Plug-In verwendet werden, um weitere EAP-Methoden bereitzustellen.
EAP ermöglicht eine erweiterbare Kommunikation zwischen dem RAS-Client und dem Authentifikator. Diese Kommunikation umfasst Authentifizierungsinformationsanforderungen des Authentifikators sowie die Antworten des RAS-Clients. Wenn EAP beispielsweise in Verbindung mit Sicherheitstokenkarten verwendet wird, kann der Authentifikator vom RAS-Client einzeln einen Namen, eine PIN und einen Tokenkartenwert anfordern. Durch die Beantwortung der einzelnen Anforderungen durchläuft der RAS-Client verschiedene Authentifizierungsstufen. Wenn alle Fragen zufriedenstellend beantwortet wurden, gilt der RAS-Client als authentifiziert.
Windows Server® 2008 enthält eine EAP-Infrastruktur, zwei EAP-Typen und die Möglichkeit, EAP-Nachrichten an einen RADIUS-Server zu übergeben (EAP-RADIUS).
EAP-Infrastruktur
EAP besteht aus internen Komponenten, die jeden EAP-Typ in Form eines Plug-In-Moduls unterstützen. Auf dem RAS-Client und dem Authentifikator muss dasselbe EAP-Authentifizierungsmodul installiert sein, damit eine Authentifizierung erfolgen kann. Zusätzliche EAP-Typen können installiert werden. Die Komponenten für einen EAP-Typ müssen auf jedem Netzwerkzugriffsclient und jedem Authentifikator installiert werden.
 | Hinweis |
|
In den Betriebssystemen der Windows Server 2003-Produktfamilie gibt es zwei EAP-Typen: MD5-Challenge und EAP-TLS. MD5-Challenge wird unter Windows Server 2008 nicht unterstützt. |
EAP-TLS
EAP-TLS ist ein EAP-Typ, der in zertifikatbasierten Sicherheitsumgebungen verwendet wird. Wenn Sie Smartcards für die RAS-Authentifizierung verwenden, müssen Sie die EAP-TLS-Authentifizierungsmethode verwenden. Der EAP-TLS-Nachrichtenaustausch ermöglicht die gegenseitige Authentifizierung, die Aushandlung der Verschlüsselungsmethode sowie die Ermittlung des verschlüsselten Schlüssels zwischen RAS-Client und Authentifikator. EAP-TLS stellt die stärkste Authentifizierungs- und Schlüsselermittlungsmethode dar.
| Hinweis |
|
Während des EAP-TLS-Authentifizierungsvorgangs werden gemeinsame geheime Verschlüsselungsschlüssel für MPPE (Microsoft Punkt-zu-Punkt-Verschlüsselung) generiert. |
EAP-TLS wird nur auf Servern unterstützt, auf denen Routing und RAS ausgeführt wird. Darüber hinaus müssen sie für die Verwendung der Windows-Authentifizierung oder von RADIUS (Remote Authentication Dial-In User Service) konfiguriert und Mitglied einer Domäne sein. Auf einem Netzwerkzugriffsserver, der als eigenständiger Server oder als Mitglied einer Arbeitsgruppe ausgeführt wird, wird EAP-TLS nicht unterstützt.
Verwenden von RADIUS als Transportmethode für EAP
Die Verwendung von RADIUS als Transport für EAP bezeichnet die Übergabe von EAP-Nachrichten eines beliebigen EAP-Typs durch einen RADIUS-Client an einen RADIUS-Server für die Authentifizierung. Für einen Netzwerkzugriffsserver, der für die RADIUS-Authentifizierung konfiguriert ist, werden beispielsweise die EAP-Nachrichten, die zwischen dem RAS-Client und dem Netzwerkzugriffsserver gesendet werden, gekapselt und als RADIUS-Meldung zwischen dem Netzwerkzugriffsserver und dem RADIUS-Server formatiert. Wenn Sie EAP mit RADIUS verwenden, wird dies als EAP-RADIUS bezeichnet.
EAP-RADIUS wird in Umgebungen verwendet, in denen RADIUS als Authentifizierungsanbieter eingesetzt wird. Ein Vorteil von EAP-RADIUS besteht darin, dass auf den Netzwerkzugriffsserver keine EAP-Typen installiert werden müssen, sondern nur auf dem RADIUS-Server. Bei einem Netzwerkrichtlinienserver (Network Policy Server, NPS) müssen Sie die EAP-Typen nur auf dem Netzwerkrichtlinienserver installieren.
Ein typisches Beispiel für die Verwendung von EAP-RADIUS ist ein Server mit Routing und RAS, der gleichzeitig für die Verwendung von EAP sowie für die Verwendung eines Netzwerkrichtlinienservers für die Authentifizierung konfiguriert ist. Beim Herstellen einer Verbindung handelt der RAS-Client die Verwendung von EAP mit dem Netzwerkzugriffsserver aus. Wenn der Client dann eine EAP-Nachricht an den Netzwerkzugriffsserver sendet, kapselt der Netzwerkzugriffsserver die EAP-Nachricht als RADIUS-Meldung und sendet sie an den konfigurierten Netzwerkrichtlinienserver. Der Netzwerkrichtlinienserver verarbeitet die EAP-Nachricht und sendet eine RADIUS-gekapselte EAP-Nachricht an den Netzwerkzugriffsserver zurück. Der Netzwerkzugriffsserver leitet dann die EAP-Nachricht an den RAS-Client weiter. Bei dieser Konfiguration dient der Netzwerkzugriffsserver nur als Durchlaufgerät. Die Verarbeitung der EAP-Nachrichten erfolgt ausschließlich auf dem RAS-Client und dem Netzwerkrichtlinienserver.
Routing und RAS kann für die lokale Authentifizierung oder für die Authentifizierung bei einem RADIUS-Server konfiguriert werden. Wenn Routing und RAS für die lokale Authentifizierung konfiguriert wird, werden alle EAP-Methoden lokal authentifiziert. Wird Routing und RAS jedoch für die Authentifizierung bei einem RADIUS-Server konfiguriert, werden alle EAP-Nachrichten mithilfe von EAP-RADIUS an den RADIUS-Server weitergeleitet.
 | So aktivieren Sie EAP-Authentifizierung |
Aktivieren Sie EAP als Authentifizierungsprotokoll auf dem Netzwerkzugriffsserver. Weitere Informationen finden Sie in der Dokumentation zu Ihrem Netzwerkzugriffsserver.
Aktivieren Sie EAP, und konfigurieren Sie gegebenenfalls den EAP-Typ in den Einschränkungen der entsprechenden Netzwerkrichtlinie.
Aktivieren und konfigurieren Sie EAP auf dem RAS-Client. Weitere Informationen finden Sie in der Dokumentation zu Ihrem RAS-Client.