Az EAP protokoll olyan tetszőleges hitelesítési módszerek engedélyezésével bővíti ki a PPP protokollt, amelyek hitelesítő adatokat és tetszőleges hosszúságú infromációcserét alkalmaznak. Az EAP protokoll biztonsági eszközöket (például intelligens kártyát, jogkivonatot tartalmazó kártyát és titkosító számológépeket) alkalmazó hitelesítési módszereket biztosít. Az EAP egy, az iparágban szabványos architektúrát biztosít a további hitelesítési módszerek támogatásához a PPP protokollon belül.
EAP és NPS
Az EAP protokollal lehetséges a további hitelesítési sémák támogatása, amelyeket EAP-típusoknak neveznek. Ezek a sémák jogkivonatot tartalmazó kártyákat, egyszeri jelszavakat, nyilvános kulcsú hitelesítést alkalmazó intelligens kártyákat és tanúsítványokat foglalnak magukba. Az EAP, az erős EAP-típusokkal együtt, a biztonságos virtuális magánhálózati (VPN) kapcsolatoknak, a 802.1X vezetékes kapcsolatoknak és a 802.1X vezeték nélküli kapcsolatoknak kritikus technológiai összetevője. A hálózati elérésű ügyfélnek és a hitelesítőnek, például a hálózati házirend-kiszolgálót futtató kiszolgálónak ugyanazt az EAP-típust kell támogatnia a sikeres hitelesítéshez.
Fontos! | |
Az erős EAP-típusok, például a tanúsítványokon alapulók nagyobb biztonságot nyújtanak a próbálkozásos vagy szótáras támadások és a jelszavak találgatása ellen, mint a jelszóalapú hitelesítési protokollok, például a CHAP vagy az MS-CHAP. |
Az EAP protokollal tetszőleges hitelesítési mechanizmus hitelesíti a távelérésű kapcsolatot. A használandó hitelesítési sémát a távelérésű ügyfél és a hitelesítő közötti egyeztetés határozza meg (a hitelesítő egy távelérési kiszolgáló vagy egy RADIUS-kiszolgáló lehet). Az Útválasztás és távelérés szolgáltatás alapértelmezés szerint támogatja az EAP-TLS és a PEAP-MS-CHAP v2 protokoll használatát. Egyéb EAP-modulokat is hozzáadhat az Útválasztás és távelérés szolgáltatást futtató kiszolgálóhoz más EAP-módszerek biztosításához.
Az EAP protokoll nyílt párbeszédet tesz lehetővé a távelérési ügyfél és a hitelesítő között. A párbeszéd a hitelesítési adatokra vonatkozó hitelesítői kérésekből és a távelérésű ügyfél válaszaiból áll. Ha például az EAP protokollt biztonsági jogkivonatokat tartalmazó kártyákkal együtt használja, a hitelesítő külön lekérdezhet a távelérési ügyféltől egy nevet, egy PIN-kódot és a jogkivonatot tartalmazó kártya értékét. Amint minden lekérdezés megtörténik, és a válaszok is megérkeznek, a távelérési ügyféle a hitelesítés következő szintjére jut. Ha minden kérdésre megfelelő válasz érkezett, a távelérési ügyfél hitelesítése megtörtént.
A Windows Server® 2008 tartalmaz egy EAP-infrastruktúrát, két EAP-típust és biztosítja az EAP-üzenetek küldésének lehetőségét a RADIUS-kiszolgálóhoz (EAP-RADIUS).
EAP-infrastruktúra
Az EAP olyan belső összetevők készlete, amelyek egy beépülő modul formájában architekturális támogatást nyújtanak bármely EAP-típushoz. A sikeres hitelesítéshez a távelérésű ügyfélnek és a hitelesítőnek ugyanazzal az EAP hitelesítési modullal kell rendelkeznie. További EAP-típusok is telepíthetőek. Az EAP-típus összetevőit minden hálózati elérésű ügyfélre és minden hitelesítőre telepíteni kell.
Megjegyzés | |
A Windows Server 2003 operációs rendszerek két EAP-típust tartalmaznak: MD5-Challenge és EAP-TLS. Az MD5-Challenge nem támogatott a Windows Server 2008 rendszerben. |
EAP-TLS
Az EAP-TLS protokoll egy EAP-típus, amelyet tanúsítványalapú biztonsági környezetekben használnak. Ha intelligens kártyákat használ a távelérési hitelesítéshez, az EAP-TLS hitelesítési módszert kell alkalmaznia. Az EAP-TLS üzenetcseréje kölcsönös hitelesítést, a titkosítási módszer egyeztetését és titkosított kulcsmeghatározást biztosít a távelérésű ügyfél és a hitelesítő között. Az EAP-TLS protokoll biztosítja a legerősebb hitelesítési és kulcsmeghatározási módszert.
Megjegyzés | |
Az EAP-TLS hitelesítési folyamat során az MPPE titkosításhoz közös titkos kulcsok generálódnak. |
Az EAP-TLS protokoll csak olyan kiszolgálókon támogatott, amelyek az Útválasztás és távelérés szolgáltatást futtatják, amelyek Windows-hitelesítésre vagy RADIUS-hitelesítés használatára vannak konfigurálva, és amelyek egy tartomány tagjai. Azok a hálózati hozzáférést biztosító kiszolgálók, amelyek különálló kiszolgálóként vagy egy munkacsoport tagjaként futnak, nem támogatják az EAP-TLS protokollt.
RADIUS használata az EAP átviteleként
A RADIUS EAP-átvitelként való használata a bármilyen EAP-típusú EAP-üzenetek átadását jelenti a RADIUS-ügyféltől a RADIUS-kiszolgáló számára hitelesítés céljából. Egy olyan hálózati hozzáférést biztosító kiszolgáló esetében például, amely RADIUS-hitelesítésre van konfigurálva, a távelérésű ügyfél és a hálózati hozzáférést biztosító kiszolgáló között küldött EAP-üzenetek a hálózati hozzáférést biztosító kiszolgáló és a RADIUS-kiszolgáló közötti RADIUS üzenetekként vannak beágyazva és formázva. Az EAP protokoll RADIUS feletti használatát EAP-RADIUS protokollnak nevezik.
Az EAP-RADIUS olyan környezetekben használható, ahol a RADIUS hitelesítés-ellenőrzőként szolgál. Az EAP-RADIUS használatának egyik előnye, hogy az EAP-típusoknak nem kell minden hálózati hozzáférést biztosító kiszolgálón telepítve lenniük, csak a RADIUS-kiszolgálón. A hálózati házirend-kiszolgálók esetében az EAP-típusokat csak a hálózati házirend-kiszolgálón kell telepíteni.
Az EAP-RADIUS egy tipikus felhasználása lehet egy, az Útválasztás és távelérést futtató kiszolgáló, amely EAP használatára konfigurált, és egy hálózati házirend-kiszolgálót használ hitelesítésre. Ha a kapcsolat létrejött, a távelérésű ügyfél egyezteti az EAP használatát a hálózati hozzáférést biztosító kiszolgálóval. Amikor az ügyfél EAP-üzenetet küld a hálózati hozzáférést biztosító kiszolgálónak, a hálózati hozzáférést biztosító kiszolgáló az EAP-üzenetet RADIUS-üzenetként ágyazza be, és továbbküldi a konfigurált hálózati házirend-kiszolgálójának. A hálózati házirend-kiszolgáló feldolgozza az EAP-üzenetet és egy RADIUS-üzenetként beágyazott EAP-üzenetet küld vissza a hálózati hozzáférést biztosító kiszolgálónak. A hálózati hozzáférést biztosító kiszolgáló továbbítja az EAP-üzenetet a távelérésű ügyfélnek. Ebben a konfigurációban a hálózati hozzáférést biztosító kiszolgáló csak egy átjáróeszköz. Az EAP-üzenetek feldolgozása minden esetben a távelérési ügyfélen és a hálózati házirend-kiszolgálón történik.
Az Útválasztás és távelérés szolgáltatás helyi hitelesítésre vagy egy RADIUS-kiszolgáló használatára állítható be. Ha az Útválasztás és távelérés szolgáltatás helyi hitelesítésre van konfigurálva, minden EAP-módszer helyileg lesz hitelesítve. Ha az Útválasztás és távelérés szolgáltatás RADIUS-kiszolgáló használatára van konfigurálva, a protokoll minden EAP-üzenet továbbít a RADIUS-kiszolgálóhoz az EAP-RADIUS protokollal.
Az EAP hitelesítés engedélyezése |
Engedélyezze az EAP protokollt hitelesítési protokollként a hálózati hozzáférést biztosító kiszolgálón. További tudnivalók a hálózati hozzáférést biztosító kiszolgáló dokumentációjában találhatók.
Engedélyezze az EAP protokollt, és ha szükséges, konfigurálja az EAP-típust a megfelelő hálózati házirend korlátozásainak megfelelően.
Engedélyezze és konfigurálja az EAP protokollt a távelérési ügyfélen. További tudnivalók a hozzáférési ügyfél dokumentációjában találhatók.