Il protocollo Extensible Authentication Protocol (EAP) estende le funzionalità del protocollo Point-to-Point Protocol (PPP) consentendo l'utilizzo di metodi di autenticazione arbitrari che utilizzano scambi di informazioni e credenziali di lunghezza arbitraria. Il protocollo EAP offre metodi di autenticazione che utilizzano dispositivi di sicurezza, ad esempio smart card, schede token e strumenti di algoritmi di crittografia. EAP fornisce un'architettura standard per il supporto di metodi di autenticazione aggiuntivi all'interno di PPP.
Protocollo EAP e Server dei criteri di rete
Utilizzando il protocollo EAP è possibile supportare schemi di autenticazione aggiuntivi denominati tipi EAP. Questi schemi includono le schede token, le password monouso e l'autenticazione della chiave pubblica mediante smart card e certificati. Il protocollo EAP, combinato con tipi EAP avanzati, rappresenta un componente di cruciale importanza per connessioni VPN sicure, connessioni cablate 802.1X e connessioni wireless 802.1X. Affinché l'autenticazione venga eseguita correttamente, sia il client di accesso alla rete che l'autenticatore, ad esempio il server che esegue Server dei criteri di rete, devono supportare lo stesso tipo EAP.
 | Importante |
|
I tipi EAP avanzati, ad esempio quelli basati su certificati, offrono un livello di sicurezza da tentativi di accesso non autorizzato basati su vocabolario o sul cosiddetto "metodo della forza bruta", nonché da tentativi di individuazione delle password, superiore rispetto a qualsiasi altro protocollo di autenticazione basato su password, ad esempio il protocollo CHAP (Challenge Handshake Authentication Protocol) o MS-CHAP (Microsoft Challenge Handshake Authentication Protocol). |
Con il protocollo EAP una connessione di accesso remoto viene autenticata mediante un meccanismo di autenticazione arbitrario. Lo schema di autenticazione da utilizzare viene negoziato dal client di accesso remoto e dall'autenticatore (il server di accesso alla rete o il server RADIUS). Routing e Accesso remoto include per impostazione predefinita il supporto per EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) e PEAP-MS-CHAP v2. È possibile collegare altri moduli EAP al server che esegue Routing e Accesso remoto per implementare altri metodi EAP.
Il protocollo EAP consente una conversazione aperta tra il client di accesso remoto e l'autenticatore. Tale conversazione è costituita dalle richieste dell'autenticatore di informazioni di autenticazione e dalle risposte del client di accesso remoto. Se ad esempio EAP viene utilizzato con schede token di sicurezza, l'autenticatore può inviare una query separata al client di accesso remoto per il nome, il PIN e il valore della scheda token. Man mano che le singole query vengono eseguite e ottengono risposta, il client di accesso remoto passa a un livello successivo di autenticazione. Quando tutte le domande hanno ricevuto la risposta necessaria, il client di accesso remoto viene autenticato.
Windows Server® 2008 include un'infrastruttura EAP, due tipi EAP e l'opzione per il trasferimento di messaggi EAP a un server RADIUS (EAP-RADIUS).
Infrastruttura EAP
Il protocollo EAP è costituito da un insieme di componenti interni che forniscono un supporto a livello di architettura per qualsiasi tipo di EAP sotto forma di modulo plug-in. Affinché l'autenticazione riesca, è necessario che lo stesso modulo di autenticazione EAP sia installato nel client di accesso remoto e nell'autenticatore. È anche possibile installare tipi di EAP aggiuntivi. In questo caso, i componenti relativi a un tipo di EAP dovranno essere installati in ogni client di accesso remoto e in ogni autenticatore.
 | Nota |
|
I sistemi operativi Windows Server 2003 supportano due tipi EAP: MD5-Challenge e EAP-TLS. MD5-Challenge non è supportato in Windows Server 2008. |
Protocollo EAP-TLS
Il protocollo EAP-TLS è un tipo EAP utilizzato negli ambienti di sicurezza basati su certificati. Se si utilizzano smart card per l'autenticazione dell'accesso remoto, è necessario utilizzare il metodo di autenticazione EAP-TLS. Lo scambio di messaggi di EAP-TLS determina l'autenticazione reciproca, la negoziazione del metodo di crittografia e la definizione della chiave crittografata tra il client di accesso remoto e l'autenticatore. EAP-TLS rappresenta il più affidabile metodo di autenticazione e definizione della chiave.
| Nota |
|
Durante il processo di autenticazione EAP-TLS, vengono generate chiavi di crittografia segrete condivise per la crittografia Microsoft Point-to-Point. |
EAP-TLS è supportato solo nei server che eseguono Routing e Accesso remoto, sono configurati per l'utilizzo di RADIUS (Remote Authentication Dial-In User Service) o dell'autenticazione di Windows e sono membri di un dominio. Un server di accesso alla rete eseguito come server autonomo o membro di un gruppo di lavoro non supporta EAP-TLS.
Utilizzare RADIUS come server di trasporto per EAP
L'utilizzo di RADIUS come server di trasporto per EAP consente il trasferimento di messaggi EAP di qualsiasi tipo EAP da un client RADIUS a un server RADIUS per l'autenticazione. In un server di accesso alla rete configurato per l'autenticazione RADIUS, ad esempio, i messaggi EAP inviati tra il client di accesso remoto e il server di accesso alla rete vengono incapsulati e formattati come messaggi RADIUS tra il server di accesso alla rete e il server RADIUS. Quando si utilizza il protocollo EAP in RADIUS, il protocollo viene definito EAP-RADIUS.
EAP-RADIUS viene utilizzato negli ambienti in cui il provider di autenticazione è RADIUS. Un vantaggio dell'utilizzo di EAP-RADIUS è che non è necessario installare i tipi EAP in ogni server di accesso alla rete, bensì solo nel server RADIUS. Nel caso di un server dei criteri di rete, è necessario installare i tipi EAP nel Server dei criteri di rete.
Un esempio tipo di configurazione EAP-RADIUS è dato da un server che esegue Routing e Accesso Remoto e che è configurato per l'utilizzo di EAP e un server per l'autenticazione. Quando si stabilisce una connessione, il client di accesso remoto negozia l'utilizzo di EAP con il server di accesso alla rete. Quando il client invia un messaggio EAP al server di accesso alla rete, il server incapsula il messaggio EAP come messaggio RADIUS e lo invia al Server dei criteri di rete configurato. Tale server elabora il messaggio EAP e invia un messaggio EAP incapsulato come RADIUS al server di accesso alla rete. Quest'ultimo inoltra il messaggio EAP al client di accesso remoto. In questa configurazione, il server di accesso alla rete è solo un dispositivo di pass-through. L'elaborazione dei messaggi EAP viene infatti eseguita interamente nel client di accesso remoto e nel Server dei criteri di rete.
È possibile configurare Routing e Accesso remoto per l'autenticazione in locale o in un server RADIUS. Nel primo caso, tutti i metodi EAP verranno autenticati in locale. Se invece Routing e Accesso remoto viene configurato per l'autenticazione in un server RADIUS, tutti i messaggi EAP verranno inoltrati al server RADIUS con EAP-RADIUS.
 | Per abilitare l'autenticazione EAP |
Abilitare EAP come protocollo di autenticazione sul server di accesso alla rete. Per ulteriori informazioni, vedere la documentazione relativa al server di accesso alla rete.
Abilitare EAP e, se necessario, configurare il tipo EAP nei vincoli del criterio di rete appropriato.
Abilitare e configurare EAP sul client di accesso remoto. Per ulteriori informazioni, vedere la documentazione relativa al client di accesso.