Protokol EAP (Extensible Authentication Protocol) rozšiřuje protokol PPP (Point-to-Point Protocol) tak, že umožňuje použít libovolné metody ověřování pomocí výměny pověření a informací o libovolné délce. Protokol EAP nabízí metody ověřování pro zabezpečovací zařízení, jako jsou čipové karty, tokenové karty a kryptografické kalkulačky. Protokol poskytuje standardní architekturu pro podporu dalších metod ověřování v rámci protokolu PPP.

Protokol EAP a server NPS

Protokol EAP umožňuje použít další metody ověřování, které jsou známy jako typy ověřování EAP neboli typy protokolu EAP. Tyto metody zahrnují tokenové karty, použití jednorázového hesla, ověřování veřejných klíčů pomocí čipových karet a certifikáty. Protokol EAP představuje ve spojení se silnými typy ověřování EAP klíčovou technologickou součást pro zabezpečení připojení k virtuální privátní síti (VPN), připojení kabelem pomocí protokolu 802.1X a bezdrátových připojení pomocí protokolu 802.1X. K úspěšnému ověření může dojít pouze tehdy, pokud klient vzdáleného přístupu i objekt provádějící ověření (například server NPS (Network Policy Server)) používají stejný typ ověřování EAP.

Důležité informace

Silné typy ověřování EAP, například typy založené na certifikátech, nabízejí lepší zabezpečení proti hrubým nebo slovníkovým útokům a hádání hesla než ověřovací protokoly založené na hesle, například protokoly CHAP (Challenge Handshake Authentication Protocol) nebo MS-CHAP (Microsoft Challenge Handshake Authentication Protocol).

Při použití protokolu EAP jsou požadavky na připojení vzdáleného přístupu ověřovány pomocí některého z volitelných mechanismů ověřování. Použité schéma ověřování je vyjednáno mezi klientem vzdáleného přístupu a ověřovatelem (serverem pro přístup k síti nebo serverem RADIUS (Remote Authentication Dial-In User Service)). Služba Směrování a vzdálený přístup ve výchozím nastavení podporuje protokoly EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) a PEAP-MS-CHAP v2. Připojením dalších modulů EAP k serveru se službou Směrování a vzdálený přístup umožníte použití dalších metod EAP.

Protokol EAP umožňuje časově neomezenou konverzaci mezi klientem vzdáleného přístupu a ověřovatelem. Tato konverzace se skládá z požadavků ověřovatele na ověřovací informace a odpovědí klienta vzdáleného přístupu. Je-li například protokol EAP použit u tokenové karty, může se ověřovatel vzdáleného klient dotazovat samostatně na jméno, kód PIN a hodnotu tokenové karty. S každou odpovědí na přijatý požadavek klient vzdáleného přístupu postupuje do další úrovně ověřování. Klient vzdáleného přístupu je ověřen, pokud uspokojivě odpoví na všechny požadavky.

Systém Windows Server® 2008 obsahuje infrastrukturu protokolu EAP, dva typy ověřování EAP a možnost předávání zpráv protokolu EAP serveru RADIUS (EAP-RADIUS).

Infrastruktura protokolu EAP

Protokol EAP je sada interních součástí, které poskytují strukturální podporu libovolného typu ověřování EAP ve formě modulu plug-in. Podmínkou úspěšného ověření je instalace shodného modulu ověřování EAP na straně klienta vzdáleného přístupu i na straně ověřovatele. Kromě toho lze instalovat další typy ověřování EAP. Součásti použitého typu ověřování EAP je nutné instalovat u všech klientů vzdáleného přístupu a všech ověřovatelů.

Poznámka

Operační systémy Windows Server 2003 poskytují dva typy ověřování EAP: MD5-Challenge a EAP-TLS. Ověřování MD5-Challenge není podporováno v systému Windows Server 2008.

EAP-TLS

EAP-TLS je typ ověřování (typ protokolu) EAP používaný v prostředích se zabezpečením založeným na certifikátech. Pokud provádíte ověřování vzdáleného přístupu pomocí čipových karet, musíte použít metodu ověřování EAP-TLS. Zprávy EAP-TLS zajišťují vzájemné ověřování, vyjednání metody šifrování a určení šifrovaných klíčů mezi klientem vzdáleného přístupu a ověřovatelem. Protokol EAP-TLS představuje nejrobustnější metodu ověřování a určení klíčů.

Poznámka

Během procesu ověřování pomocí protokolu EAP-TLS budou vygenerovány tajné šifrovací klíče šifrování MPPE (Microsoft Point-to-Point Encryption).

Ověřování EAP-TLS podporují pouze servery se službou Směrování a vzdálený přístup, které používají ověřování systému Windows nebo RADIUS (Remote Authentication Dial-In User Service) a jsou členy domény. Servery pro přístup k síti, které pracují jako samostatné servery nebo jsou členy pracovních skupin, ověřování EAP-TLS nepodporují.

Použití protokolu RADIUS jako přenosového protokolu pro protokol EAP

Použití protokolu RADIUS pro přenosy protokolu EAP spočívá v předávání zpráv protokolu EAP libovolného typu klientem RADIUS serveru RADIUS za účelem ověření. Je-li například na serveru pro přístup k síti konfigurováno ověřování pomocí protokolu RADIUS, jsou zprávy protokolu EAP, odesílané mezi klientem vzdáleného přístupu a server pro přístup k síti, vloženy do zpráv protokolu RADIUS a v této formě odesílány na server RADIUS. Použití protokolu EAP přes protokol RADIUS bývá označováno jako ověřování EAP-RADIUS.

Tento mechanismus se používá v prostředích, kde je jako zprostředkovatel ověřování používán server RADIUS. Výhodou použití ověřování EAP-RADIUS je skutečnost, že v takovém případě není třeba instalovat jednotlivé typy EAP na všechny servery pro přístup k síti, ale pouze na server RADIUS. Při použití serveru NPS stačí instalovat jednotlivé typy EAP na server NPS.

Při typickém použití ověřování EAP-RADIUS je server se službou Směrování a vzdálený přístup konfigurován pro použití protokolu EAP a ověřování prostřednictvím serveru NPS. Po navázání spojení klient vzdáleného přístupu vyjedná se serverem pro přístup k síti použití protokolu EAP. Server pro přístup k síti vkládá zprávy protokolu EAP přijaté od klienta do zpráv protokolu RADIUS a odesílá je na příslušný konfigurovaný server NPS. Server NPS zpracuje zprávy EAP a odpovědi vložené do zpráv protokolu RADIUS odesílá zpět na server pro přístup k síti. Server pro přístup k síti potom zprávy protokolu EAP předá klientovi vzdáleného přístupu. V této konfiguraci tedy server pro přístup k síti slouží pouze jako zařízení pro předávání zpráv. Vlastní zpracování zpráv protokolu EAP probíhá v klientovi vzdáleného přístupu a na serveru NPS.

Službu Směrování a vzdálený přístup lze nakonfigurovat tak, aby ověřování probíhalo místně nebo na serveru RADIUS. V prvním případě jsou všechny zprávy protokolu EAP ověřovány místně. V druhém případě jsou všechny zprávy protokolu EAP pomocí mechanismu EAP-RADIUS předávány na server RADIUS.

Povolení ověřování protokolem EAP
  1. Na serveru pro přístup k síti povolte protokol EAP jako ověřovací protokol. Další informace naleznete v dokumentaci k serveru pro přístup k síti.

  2. Povolte protokol EAP a v případě potřeby nakonfigurujte typ protokolu (typ ověřování) EAP pomocí omezení příslušných zásad sítě.

  3. V klientovi vzdáleného přístupu povolte a nakonfigurujte protokol EAP. Další informace naleznete v dokumentaci ke klientovi.


Obsah