Le protocole EAP (Extensible Authentication Protocol) étend le protocole PPP (Point-to-Point Protocol) en autorisant des méthodes d’authentification arbitraires qui utilisent des échanges d’informations d’identification et de données de longueurs arbitraires. EAP fournit des méthodes d’authentification utilisant des dispositifs de sécurité, tels que les cartes à puces, les cartes jetons et les calculatrices de chiffrement. EAP fournit une architecture standard pour prendre en charge d’autres méthodes d’authentification dans le protocole PPP.
EAP et NPS
Grâce au protocole EAP, vous pouvez prendre en charge d’autres modèles d’authentification, appelés types EAP. Ces modèles incluent les cartes jetons, les mots de passe à usage unique, l’authentification par clé publique utilisant des cartes à puce et les certificats. EAP, utilisé conjointement avec des types EAP forts, constitue un composant technologique essentiel pour sécuriser les connexions VPN et les connexions câblées ou sans fil 802.1X. Le client d’accès réseau et l’authentificateur, par exemple le serveur qui exécute NPS, doivent prendre en charge le même type EAP pour que l’authentification réussisse.
 | Important |
|
Les types EAP forts, comme ceux basés sur des certificats, offrent une meilleure sécurité contre les attaques en force ou par dictionnaire et contre le déchiffrement de mot de passe que les protocoles d’authentification basés sur des mots de passe, tels que CHAP (Challenge Handshake Authentication Protocol) ou MS-CHAP (Microsoft Challenge Handshake Authentication Protocol). |
Avec EAP, un mécanisme d’authentification arbitraire authentifie une connexion d’accès à distance. Le modèle d’authentification à utiliser est négocié par le client d’accès à distance et l’authentificateur (qui est soit le serveur d’accès réseau, soit le serveur RADIUS [Remote Authentication Dial-In User Service]). Routage et accès à distance inclut la prise en charge des protocoles EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) et PEAP-MS-CHAP v2 par défaut. Vous pouvez connecter d’autres modules EAP au serveur exécutant Routage et accès à distance afin de fournir d’autres méthodes EAP.
Le protocole EAP permet d’établir une communication ouverte entre le client d’accès à distance et l’authentificateur. La conversation est constituée de demandes d’informations d’authentification de la part de l’authentificateur et de réponses de la part du client d’accès à distance. Par exemple, lorsque le protocole EAP est utilisé avec des cartes jetons de sécurité, l’authentificateur peut interroger le client d’accès à distance afin d’obtenir séparément un nom, un code confidentiel et une valeur de carte jeton. Après chaque question et réponse, le client d’accès à distance franchit un autre niveau d’authentification. Lorsque des réponses satisfaisantes ont été fournies à toutes les questions, le client d’accès à distance est authentifié.
Windows Server® 2008 inclut une infrastructure EAP assortie de deux types EAP et permet de transférer les messages EAP à un serveur RADIUS (EAP-RADIUS).
Infrastructure EAP
EAP est un ensemble de composants internes assurant une prise en charge architecturale de tout type EAP sous la forme d’un module de plug-in. Pour que l’authentification réussisse, il faut installer le même module d’authentification EAP sur le client d’accès à distance et sur l’authentificateur. Vous pouvez aussi installer des types EAP supplémentaires. Les composants pour chaque type EAP doivent être installés sur tous les clients d’accès à distance et tous les authentificateurs.
 | Remarques |
|
Les systèmes d’exploitation Windows Server 2003 fournissent deux types EAP : MD5-Challenge et EAP-TLS. MD5-Challenge n’est pas pris en charge dans Windows Server 2008. |
EAP-TLS
EAP-TLS est un type EAP utilisé dans les environnements de sécurité basés sur certificats. Si vous utilisez des cartes à puce pour l’authentification des accès à distances, vous devez utiliser la méthode d’authentification EAP-TLS. L’échange de messages EAP-TLS fournit une authentification mutuelle, la négociation de la méthode de chiffrement et la détermination de la clé de chiffrement entre le client d’accès à distance et l’authentificateur. EAP-TLS procure la méthode de détermination de clé et l’authentification les plus fortes.
| Remarques |
|
Durant le processus d’authentification EAP-TLS, des clés de chiffrement secrètes partagées sont générées pour le chiffrement MPPE (Microsoft Point-to-Point Encryption). |
EAP-TLS est pris en charge uniquement sur les serveurs qui exécutent Routage et accès à distance, qui sont configurés de façon à utiliser l’Authentification Windows ou RADIUS (Remote Authentication Dial-In User Service) et qui sont membres d’un domaine. Un serveur d’accès réseau exécuté en tant que serveur autonome ou membre d’un groupe de travail ne prend pas en charge EAP-TLS.
Utilisation de RADIUS comme transport pour EAP
L’utilisation de RADIUS comme transport pour EAP consiste à transférer les messages EAP de tout type EAP depuis un client RADIUS vers un serveur RADIUS pour assurer l’authentification. Par exemple, pour un serveur d’accès réseau configuré pour l’authentification RADIUS, les messages EAP envoyés entre le client d’accès à distance et le serveur d’accès réseau sont encapsulés et mis en forme en tant que messages RADIUS entre le serveur d’accès réseau et le serveur RADIUS. La méthode consistant à utiliser EAP sur RADIUS est appelée EAP-RADIUS.
EAP-RADIUS est employé dans les environnements où RADIUS est utilisé comme fournisseur d’authentification. L’un des avantages offerts par EAP-RADIUS est qu’il n’est pas obligatoire d’installer les types EAP sur chaque serveur d’accès réseau, mais uniquement sur le serveur RADIUS. Dans le cas d’un serveur NPS, vous ne devez installer les types EAP que sur le serveur NPS.
Dans un scénario EAP-RADIUS par défaut, un serveur exécutant Routage et accès à distance est configuré de façon à utiliser EAP et à utiliser un serveur NPS pour l’authentification. Lorsqu’une connexion est établie, le client d’accès à distance négocie l’utilisation d’EAP avec le serveur d’accès réseau. Lorsque le client envoie un message EAP au serveur d’accès réseau, celui-ci encapsule le message EAP en tant que message RADIUS et l’envoie à son serveur NPS configuré. Le serveur NPS traite le message EAP et renvoie un message EAP encapsulé RADIUS au serveur d’accès réseau. Ce dernier transfère ensuite le message EAP au client d’accès à distance. Dans cette configuration, le serveur d’accès réseau n’est qu’un dispositif de transfert. Tout le traitement des messages EAP a lieu sur le client d’accès à distance et le serveur NPS.
Routage et accès à distance peut être configuré de façon à authentifier localement ou par rapport à un serveur RADIUS. Si Routage et accès à distance est configuré de façon à authentifier localement, toutes les méthodes EAP sont authentifiées localement. Si Routage et accès à distance est configuré de façon à authentifier par rapport à un serveur RADIUS, tous les messages EAP sont transférés au serveur RADIUS avec EAP-RADIUS.
 | Pour activer l’authentification EAP |
Activez le protocole EAP comme protocole d’authentification sur le serveur d’accès réseau. Pour plus d’informations, voir la documentation de votre serveur d’accès réseau.
Activez le protocole EAP et, si nécessaire, configurez le type EAP dans les contraintes de la stratégie réseau appropriée.
Activez et configurez le protocole EAP sur le client d’accès à distance. Pour plus d’informations, voir la documentation de votre client d’accès à distance.