Az EAP protokoll - áttekintés

Az EAP protokollal lehetséges a további hitelesítési sémák támogatása, amelyeket EAP-típusoknak neveznek. Ezek a sémák jogkivonatot tartalmazó kártyákat, egyszeri jelszavakat, nyilvános kulcsú hitelesítést alkalmazó intelligens kártyákat és tanúsítványokat foglalnak magukba. Az EAP, az erős EAP-típusokkal együtt, a biztonságos virtuális magánhálózati (VPN) kapcsolatoknak, a 802.1X vezetékes kapcsolatoknak és a 802.1X vezeték nélküli kapcsolatoknak kritikus technológiai összetevője. A hálózati elérésű ügyfélnek és a hitelesítőnek, például a hálózati házirend-kiszolgálót futtató kiszolgálónak ugyanazt az EAP-típust kell támogatnia a sikeres hitelesítéshez.

	Fontos!
	Az erős EAP-típusok, például a tanúsítványokon alapulók nagyobb biztonságot nyújtanak a próbálkozásos vagy szótáras támadások és a jelszavak találgatása ellen, mint a jelszóalapú hitelesítési protokollok, például a CHAP vagy az MS-CHAP.

Az EAP protokollal tetszőleges hitelesítési mechanizmus hitelesíti a távelérésű kapcsolatot. A használandó hitelesítési sémát a távelérésű ügyfél és a hitelesítő közötti egyeztetés határozza meg (a hitelesítő egy távelérési kiszolgáló vagy egy RADIUS-kiszolgáló lehet). Az Útválasztás és távelérés szolgáltatás alapértelmezés szerint támogatja az EAP-TLS és a PEAP-MS-CHAP v2 protokoll használatát. Egyéb EAP-modulokat is hozzáadhat az Útválasztás és távelérés szolgáltatást futtató kiszolgálóhoz más EAP-módszerek biztosításához.

Az EAP protokoll nyílt párbeszédet tesz lehetővé a távelérési ügyfél és a hitelesítő között. A párbeszéd a hitelesítési adatokra vonatkozó hitelesítői kérésekből és a távelérésű ügyfél válaszaiból áll. Ha például az EAP protokollt biztonsági jogkivonatokat tartalmazó kártyákkal együtt használja, a hitelesítő külön lekérdezhet a távelérési ügyféltől egy nevet, egy PIN-kódot és a jogkivonatot tartalmazó kártya értékét. Amint minden lekérdezés megtörténik, és a válaszok is megérkeznek, a távelérési ügyféle a hitelesítés következő szintjére jut. Ha minden kérdésre megfelelő válasz érkezett, a távelérési ügyfél hitelesítése megtörtént.

A Windows Server® 2008 tartalmaz egy EAP-infrastruktúrát, két EAP-típust és biztosítja az EAP-üzenetek küldésének lehetőségét a RADIUS-kiszolgálóhoz (EAP-RADIUS).

Az EAP olyan belső összetevők készlete, amelyek egy beépülő modul formájában architekturális támogatást nyújtanak bármely EAP-típushoz. A sikeres hitelesítéshez a távelérésű ügyfélnek és a hitelesítőnek ugyanazzal az EAP hitelesítési modullal kell rendelkeznie. További EAP-típusok is telepíthetőek. Az EAP-típus összetevőit minden hálózati elérésű ügyfélre és minden hitelesítőre telepíteni kell.

	Megjegyzés
	A Windows Server 2003 operációs rendszerek két EAP-típust tartalmaznak: MD5-Challenge és EAP-TLS. Az MD5-Challenge nem támogatott a Windows Server 2008 rendszerben.

Az EAP-TLS protokoll egy EAP-típus, amelyet tanúsítványalapú biztonsági környezetekben használnak. Ha intelligens kártyákat használ a távelérési hitelesítéshez, az EAP-TLS hitelesítési módszert kell alkalmaznia. Az EAP-TLS üzenetcseréje kölcsönös hitelesítést, a titkosítási módszer egyeztetését és titkosított kulcsmeghatározást biztosít a távelérésű ügyfél és a hitelesítő között. Az EAP-TLS protokoll biztosítja a legerősebb hitelesítési és kulcsmeghatározási módszert.

	Megjegyzés
	Az EAP-TLS hitelesítési folyamat során az MPPE titkosításhoz közös titkos kulcsok generálódnak.

Az EAP-TLS protokoll csak olyan kiszolgálókon támogatott, amelyek az Útválasztás és távelérés szolgáltatást futtatják, amelyek Windows-hitelesítésre vagy RADIUS-hitelesítés használatára vannak konfigurálva, és amelyek egy tartomány tagjai. Azok a hálózati hozzáférést biztosító kiszolgálók, amelyek különálló kiszolgálóként vagy egy munkacsoport tagjaként futnak, nem támogatják az EAP-TLS protokollt.

A RADIUS EAP-átvitelként való használata a bármilyen EAP-típusú EAP-üzenetek átadását jelenti a RADIUS-ügyféltől a RADIUS-kiszolgáló számára hitelesítés céljából. Egy olyan hálózati hozzáférést biztosító kiszolgáló esetében például, amely RADIUS-hitelesítésre van konfigurálva, a távelérésű ügyfél és a hálózati hozzáférést biztosító kiszolgáló között küldött EAP-üzenetek a hálózati hozzáférést biztosító kiszolgáló és a RADIUS-kiszolgáló közötti RADIUS üzenetekként vannak beágyazva és formázva. Az EAP protokoll RADIUS feletti használatát EAP-RADIUS protokollnak nevezik.

Az EAP-RADIUS olyan környezetekben használható, ahol a RADIUS hitelesítés-ellenőrzőként szolgál. Az EAP-RADIUS használatának egyik előnye, hogy az EAP-típusoknak nem kell minden hálózati hozzáférést biztosító kiszolgálón telepítve lenniük, csak a RADIUS-kiszolgálón. A hálózati házirend-kiszolgálók esetében az EAP-típusokat csak a hálózati házirend-kiszolgálón kell telepíteni.

Az EAP-RADIUS egy tipikus felhasználása lehet egy, az Útválasztás és távelérést futtató kiszolgáló, amely EAP használatára konfigurált, és egy hálózati házirend-kiszolgálót használ hitelesítésre. Ha a kapcsolat létrejött, a távelérésű ügyfél egyezteti az EAP használatát a hálózati hozzáférést biztosító kiszolgálóval. Amikor az ügyfél EAP-üzenetet küld a hálózati hozzáférést biztosító kiszolgálónak, a hálózati hozzáférést biztosító kiszolgáló az EAP-üzenetet RADIUS-üzenetként ágyazza be, és továbbküldi a konfigurált hálózati házirend-kiszolgálójának. A hálózati házirend-kiszolgáló feldolgozza az EAP-üzenetet és egy RADIUS-üzenetként beágyazott EAP-üzenetet küld vissza a hálózati hozzáférést biztosító kiszolgálónak. A hálózati hozzáférést biztosító kiszolgáló továbbítja az EAP-üzenetet a távelérésű ügyfélnek. Ebben a konfigurációban a hálózati hozzáférést biztosító kiszolgáló csak egy átjáróeszköz. Az EAP-üzenetek feldolgozása minden esetben a távelérési ügyfélen és a hálózati házirend-kiszolgálón történik.

Az Útválasztás és távelérés szolgáltatás helyi hitelesítésre vagy egy RADIUS-kiszolgáló használatára állítható be. Ha az Útválasztás és távelérés szolgáltatás helyi hitelesítésre van konfigurálva, minden EAP-módszer helyileg lesz hitelesítve. Ha az Útválasztás és távelérés szolgáltatás RADIUS-kiszolgáló használatára van konfigurálva, a protokoll minden EAP-üzenet továbbít a RADIUS-kiszolgálóhoz az EAP-RADIUS protokollal.