EAP - overzicht

Met EAP kunt u extra verificatieschema's, ook wel EAP-typen genoemd, ondersteunen. Deze schema's bestaan uit tokenkaarten, eenmalige wachtwoorden, openbare sleutelverificatie met smartcards en certificaten. EAP in combinatie met sterke EAP-typen is een belangrijk technologisch onderdeel voor beveiligde VPN-verbindingen (Virtual Private Network), bekabelde 802.1X-verbindingen en draadloze 802.1X-verbindingen. Voor een geslaagde verificatie moeten de netwerktoegangsclient en de verificator, zoals de NPS-server (Network Policy Server), hetzelfde EAP-type ondersteunen.

	Belangrijk
	Sterke EAP-typen, zoals typen die zijn gebaseerd op certificaten, bieden een betere beveiliging tegen aanvallen met woordenlijsten of andere grove middelen en het raden naar wachtwoorden dan verificatieprotocollen op basis van wachtwoorden, zoals CHAP (Challenge Handshake Authentication Protocol) of MS-CHAP (Microsoft Challenge Handshake Authentication Protocol).

Met EAP wordt een RAS-verbinding geverifieerd via een willekeurige verificatiemethode. Via de RAS-client en de verificator (de netwerktoegangsserver of de RADIUS-server (Remote Authentication Dial-In User Service)) wordt onderhandeld over het verificatieschema dat moet worden gebruikt. Routering en RAS omvat standaard ondersteuning voor EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) en PEAP-MS-CHAP v2. Als u andere EAP-methoden ter beschikking wilt stellen, kunt u andere EAP-modules toevoegen aan de server waarop Routering RAS wordt uitgevoerd.

EAP biedt de mogelijkheid van een open-einde-conversatie tussen de RAS-client en de verificator. De conversatie bestaat uit verzoeken om verificatiegegevens van de verificator en de reacties van de RAS-client. Wanneer EAP bijvoorbeeld wordt gebruikt met beveiligingstokenkaarten, kan de verificator de RAS-client afzonderlijk verzoeken om een naam, PIN en tokenkaartwaarde. Terwijl elke query wordt uitgevoerd en beantwoord, doorloopt de RAS-client een ander verificatieniveau. Wanneer alle vragen naar behoren zijn beantwoord, wordt de RAS-client geverifieerd.

Windows Server® 2008 bevat een EAP-infrastructuur, twee EAP-typen en de optie voor het doorgeven van EAP-berichten aan een RADIUS-server (EAP-RADIUS).

EAP is een set interne onderdelen die de architectuur voor een EAP-type ondersteunt in de vorm van een invoegtoepassing. Voor een geslaagde verificatie moet dezelfde EAP-verificatiemodule zijn geïnstalleerd voor de RAS-client en de verificator. U kunt ook extra EAP-typen installeren. De onderdelen van een EAP-type moeten worden geïnstalleerd voor alle netwerktoegangsclients en verificators.

	Opmerking
	De Windows Server 2003-besturingssystemen bevatten twee EAP-typen: MD5-Challenge en EAP-TLS. MD5-Challenge wordt niet ondersteund in Windows Server 2008.

EAP-TLS is een EAP-type dat wordt gebruikt in beveiligingsomgevingen die zijn gebaseerd op certificaten. Als u smartcards gebruikt voor RAS-verificatie, moet u de verificatiemethode EAP-TLS gebruiken. De EAP-TLS-uitwisseling van berichten zorgt voor wederzijdse verificatie, onderhandeling van de versleutelingsmethode en vaststelling van de versleutelde sleutel tussen de RAS-client en de verificator. EAP-TLS is de meest krachtige methode voor verificatie en het vaststellen van sleutels.

	Opmerking
	Tijdens de EAP-TLS-verificatie worden er gedeelde, geheime versleutelingssleutels voor MPPE (Microsoft Point-to-Point Encryption) gegenereerd.

EAP-TLS wordt alleen ondersteund op servers waarop Routering en RAS wordt uitgevoerd, die zijn geconfigureerd voor het gebruik van Windows-verificatie of RADIUS (Remote Authentication Dial-In User Service) en die lid zijn van een domein. Een netwerkserver die wordt uitgevoerd als zelfstandige server of als lid van een werkgroep, biedt geen ondersteuning voor EAP-TLS.

Bij het gebruik van RADIUS als transport voor EAP worden EAP-berichten van een EAP-type via een RADIUS-client doorgegeven aan een RADIUS-server voor de verificatie. Voor een netwerktoegangsserver die bijvoorbeeld is geconfigureerd voor RADIUS-verificatie, zijn de EAP-berichten die tussen de RAS-client en de netwerktoegangsserver worden verzonden, ingekapseld en opgemaakt als RADIUS-berichten tussen de netwerktoegangsserver en de RADIUS-server. Als u EAP gebruikt met RADIUS, wordt dit EAP-RADIUS genoemd.

EAP-RADIUS wordt gebruikt in omgevingen waarin RADIUS als verificatieprovider wordt gebruikt. Een voordeel van het gebruik van EAP-RADIUS is dat EAP-typen niet op elke netwerktoegangsserver hoeven te worden geïnstalleerd, maar alleen op de RADIUS-server. Voor een NPS-server hoeft u alleen EAP-typen op de NPS-server te installeren.

Bij een standaardgebruik van EAP-RADIUS wordt een server waarop Routering en RAS wordt uitgevoerd, geconfigureerd voor het gebruik van EAP en voor het gebruik van een NPS-server voor verificatie. Wanneer een verbinding tot stand is gebracht, wordt via de RAS-client onderhandeld over het gebruik van EAP met de netwerktoegangsserver. Wanneer via de client een EAP-bericht naar de netwerktoegangsserver wordt verzonden, wordt het EAP-bericht via de netwerktoegangsserver ingekapseld als RADIUS-bericht, waarna het wordt verzonden naar de geconfigureerde NPS-server. De NPS-server verwerkt het EAP-bericht en zendt een door RADIUS ingekapseld EAP-bericht terug naar de netwerktoegangsserver. De netwerktoegangsserver stuurt het EAP-bericht vervolgens door naar de RAS-client. In deze configuratie fungeert de netwerktoegangsserver alleen als doorvoerapparaat. De verwerking van EAP-berichten vindt plaats op de RAS-client en de NPS-server.

Routering en RAS kan worden geconfigureerd voor lokale verificatie of verificatie op een RADIUS-server. Als Routering en RAS is geconfigureerd voor lokale verificatie, worden alle EAP-methoden lokaal geverifieerd. Als Routering en RAS is geconfigureerd voor verificatie op een RADIUS-server, worden alle EAP-berichten met EAP-RADIUS doorgestuurd naar de RADIUS-server.