Med Extensible Authentication Protocol (EAP) utökas Point-to-Point Protocol (PPP) genom att tillåta godtyckliga autentiseringsmetoder med godtyckligt långa utbyten av autentiseringsuppgifter och information. EAP tillhandahåller autentiseringsmetoder som använder säkerhetsenheter som smartkort, tokenkort och krypteringsräknare. EAP är en industristandard för stöd för ytterligare autentiseringsmetoder inom PPP.

EAP och NPS

Med EAP kan du använda ytterligare autentiseringsscheman, så kallade EAP-typer. Schemana kan innehålla tokenkort, engångslösenord och autentisering med offentliga nycklar via smartkort samt certifikat. EAP tillsammans med starka EAP-typer är en mycket viktig komponent för säkra VPN-anslutningar (virtuellt privat nätverk) och 802.1X-anslutningar, både via kabel och trådlöst. Både nätverksåtkomstklienten och autentiseraren, t.ex. NPS-servern (Network Policy Server), måste ha stöd för samma EAP-typ för att autentiseringen ska fungera.

Viktigt!

Starka EAP-typer, t.ex. certifikatbaserade, ger bättre skydd mot nyckelsökningsangrepp, ordboksattacker och lösenordsgissning än autentiseringsprotokoll som baseras på lösenord, t.ex. CHAP (Challenge Handshake Authentication Protocol) och MS-CHAP (Microsoft Challenge Handshake Authentication Protocol).

Med hjälp av EAP kan en fjärranslutning autentiseras av valfri autentiseringsmekanism. Vilket autentiseringsschema som används förhandlas fram mellan fjärråtkomstklienten och autentiseraren (antingen nätverksåtkomstservern eller RADIUS-servern, Remote Authentication Dial-In User Service). I Routning och fjärråtkomst (RAS) ingår som standard stöd för EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) och PEAP-MS-CHAP v2. Du kan ansluta andra EAP-moduler till en server som kör Routning och fjärråtkomst om du även vill kunna använda andra EAP-metoder.

EAP tillåter öppna konversationer mellan fjärråtkomstklienten och autentiseraren. En sådan konversation består av begäranden om autentiseringsinformation från autentiseraren och svar från fjäråtkomstklienten. När EAP exempelvis används tillsammans med säkerhetstokens kan autentiseraren separat fråga fjärråtkomstklienten efter ett namn, en PIN-kod eller ett tokenkortvärde. Efter att varje fråga har ställts och besvarats överförs fjärråtkomstklienten till en ny autentiseringsnivå. När alla frågor har besvarats på ett tillfredsställande sätt är fjärråtkomstklienten autentiserad.

Windows Server® 2008 inkluderar en EAP-infrastruktur, två EAP-typer och förmågan att skicka EAP-meddelanden till en RADIUS-server (EAP-RADIUS).

EAP-infrastruktur

EAP är en uppsättning interna komponenter som ger strukturellt stöd för alla typer av EAP i form av en plugin-modul. För att autentiseringen ska lyckas måste samma EAP-autentiseringsmodul vara installerad på både fjärråtkomstklienten och autentiseraren. Du kan också installera ytterligare EAP-typer. Komponenterna för en EAP-typ måste installeras på alla nätverksåtkomstklienter och alla autentiserare.

OBS

I Windows Server 2003-operativsystemen finns två EAP-typer: MD5-Challenge och EAP-TLS. MD5-Challenge stöds inte i Windows Server 2008.

EAP-TLS

EAP-TLS är en EAP-typ som används i certifikatbaserade säkerhetsmiljöer. Om du använder smartkort för fjärråtkomstautentisering måste du använda autentiseringsmetoden EAP-TLS. Vid meddelandeutbytet i EAP-TLS sker en ömsesidig autentisering mellan fjärråtkomstklienten och autentiseraren, krypteringsmetoden förhandlas och krypteringsnyckeln bestäms. EAP-TLS är den starkaste autentiserings- och nyckelbestämningsmetoden.

OBS

Vid autentiseringen med EAP-TLS skapas delade hemliga krypteringsnycklar för Microsoft Point-to-Point-kryptering (MPPE).

EAP-TLS stöds endast av servrar som kör Routning och fjärråtkomst (RAS), som har konfigurerats för användning av Windows-autentisering eller RADIUS (Remote Authentication Dial-In User Service) och som ingår i domänen. En nätverksåtkomstserver som körs som en fristående server eller som ingår i en arbetsgrupp saknar stöd för EAP-TLS.

Använda RADIUS som transport för EAP

Att använda RADIUS som transport för EAP innebär att EAP-meddelanden, oavsett EAP-typ, skickas av en RADIUS-klient till en RADIUS-server för att autentiseras. Om en nätverksåtkomstserver är konfigurerad för RADIUS-autentisering kommer de EAP-meddelanden som skickas mellan fjärråtkomstklienten och nätverksåtkomstservern att kapslas in och formateras som RADIUS-meddelanden mellan nätverksåtkomstservern och RADIUS-servern. När du använder EAP via RADIUS kallas det EAP-RADIUS.

EAP-RADIUS används i miljöer där RADIUS används som autentiseringsprovider. En fördel med EAP-RADIUS är att EAP-typerna inte behöver installeras på varje enskild nätverksåtkomstserver utan endast på RADIUS-servern. Om du har en NPS-server behöver du endast installera EAP-typerna på NPS-servern.

Vid normal användning av EAP-RADIUS har en server som kör Routning och fjärråtkomst (RAS) konfigurerats för att använda EAP, och för att använda en NPS-server vid autentiseringen. När en anslutning upprättas förhandlar fjärråtkomstklienten om användning av EAP med nätverksåtkomstservern. När klienten skickar ett EAP-meddelande till nätverksåtkomstservern kapslar nätverksåtkomstservern in EAP-meddelandet som ett RADIUS-meddelande och skickar det till den konfigurerade NPS-servern. NPS-servern behandlar EAP-meddelandet och skickar ett RADIUS-inkapslat EAP-meddelande tillbaka till nätverksåtkomstservern. Nätverksåtkomstservern vidarebefordrar då EAP-meddelandet till fjärråtkomstklienten. I den här konfigurationen fungerar nätverksåtkomstservern endast som en genomströmningsenhet. All bearbetning av EAP-meddelanden sker hos fjärråtkomstklienten och NPS-servern.

Routning och fjärråtkomst (RAS) kan konfigureras för lokal autentisering eller autentisering på en RADIUS-server. Vid lokal autentisering autentiseras alla EAP-metoder lokalt. Vid autentisering mot en RADIUS-server vidarebefordras alla EAP-meddelanden till RADIUS-servern med EAP-RADIUS.

Så här aktiverar du EAP-autentisering
  1. Aktivera EAP som autentiseringsprotokoll på nätverksåtkomstservern. Mer information finns i dokumentationen för nätverksåtkomstservern.

  2. Aktivera EAP och konfigurera vid behov EAP-typen till begränsningarna för lämplig nätverksprincip.

  3. Aktivera och konfigurera EAP på fjärråtkomstklienten. Mer information finns i dokumentationen för åtkomstklienten.


Innehåll