拡張認証プロトコル (EAP) は、任意の長さの資格情報と情報の交換を使用する任意の認証方法を可能にすることで、Point-to-Point プロトコル (PPP) を拡張したものです。EAP によって、スマート カード、トークン カード、暗号電卓などのセキュリティ デバイスを使用する認証方法を利用できるようになります。EAP は、PPP 内で追加の認証方法をサポートするための業界標準のアーキテクチャを提供します。

EAP と NPS

EAP を使用すると、"EAP の種類" として知られる追加の認証方式をサポートできます。これらの認証方式には、トークン カード、ワンタイム パスワード、スマート カードを使用した公開キー認証、および証明書が含まれます。強力な "EAP の種類" と共に、EAP は、セキュリティで保護された仮想プライベート ネットワーク (VPN) 接続、802.1X ワイヤード接続、および 802.1X ワイヤレス接続において、重要なテクノロジ コンポーネントです。ネットワーク アクセス クライアントと認証システム (ネットワーク ポリシー サーバー (NPS) を実行するサーバーなど) が同じ "EAP の種類" をサポートしていないと、認証は成功しません。

重要

証明書に基づく EAP などの強力な "EAP の種類" は、チャレンジ ハンドシェイク認証プロトコル (CHAP) や Microsoft チャレンジ ハンドシェイク認証プロトコル (MS-CHAP) などのパスワードに基づいた認証プロトコルよりも、総当り攻撃や辞書攻撃およびパスワード類推に対して、高いセキュリティを実現します。

EAP では、任意の認証メカニズムによってリモート アクセス接続が認証されます。使用される認証方式は、リモート アクセス クライアントおよび認証システム (ネットワーク アクセス サーバーまたはリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバー) によってネゴシエートされます。ルーティングとリモート アクセスには、拡張認証プロトコル - トランスポート層セキュリティ (EAP-TLS) と EAP-MS-CHAP v2 のサポートが既定で含まれます。ルーティングとリモート アクセスを実行しているサーバーに他の EAP モジュールを接続すると、その他の EAP メソッドを提供できます。

EAP では、リモート アクセス クライアントと認証システム間の対話に制限はありません。この通信は、認証情報を求める認証システムの要求およびリモート アクセス クライアントからの応答で構成されます。たとえば、EAP をセキュリティ トークン カードと合わせて使用する場合、認証システムは名前、PIN、およびトークン カードの値をリモート アクセス クライアントに個別に照会することができます。各照会が送信され、応答されると、リモート アクセス クライアントは別のレベルの認証を通過します。すべての照会が適切に応答されると、リモート アクセス クライアントは認証されます。

Windows Server® 2008 には、EAP 基盤、2 種類の EAP、および RADIUS サーバーに EAP メッセージを渡す機能 (EAP-RADIUS) が含まれています。

EAP 基盤

EAP は、プラグイン モジュール形式の任意の "EAP の種類" を構造的にサポートする内部コンポーネントのセットです。認証が成功するには、リモート アクセス クライアントと認証システムの両方で同じ EAP 認証モジュールがインストールされている必要があります。また、追加の "EAP の種類" をインストールすることもできます。"EAP の種類" のコンポーネントは、すべてのネットワーク アクセス クライアントおよびすべての認証システムにインストールする必要があります。

Windows Server 2003 オペレーティング システムには、"EAP の種類" として MD5-Challenge と EAP-TLS の 2 つがあります。MD5-Challenge は Windows Server 2008 ではサポートされていません。

EAP-TLS

EAP-TLS は、証明書ベースのセキュリティ環境で使用する "EAP の種類" です。リモート アクセス認証にスマート カードを使用している場合は、EAP-TLS 認証方法を使用する必要があります。EAP-TLS のメッセージ交換により、リモート アクセス クライアントと認証システムとの間の相互認証、暗号化方式のネゴシエーション、および暗号化キーの決定が可能です。EAP-TLS は、最も強力な認証方法とキー決定方法を提供します。

EAP-TLS 認証プロセスでは、Microsoft Point-to-Point 暗号化 (MPPE) の共有の秘密暗号化キーが生成されます。

EAP-TLS は、Windows 認証またはリモート認証ダイヤルイン ユーザー サービス (RADIUS) を使用するドメインのメンバーとして構成された、ルーティングとリモート アクセスを実行しているサーバーでのみサポートされます。スタンドアロン サーバーまたはワークグループのメンバーとして実行されているネットワーク アクセス サーバーでは、EAP-TLS はサポートされません。

EAP のトランスポートに RADIUS を使用する

EAP のトランスポートに RADIUS を使用するとは、任意の "EAP の種類" の EAP メッセージが RADIUS クライアントから RADIUS サーバーに認証用に渡されることを示します。たとえば、RADIUS 認証用に構成されているネットワーク アクセス サーバーの場合、リモート アクセス クライアントとネットワーク アクセス サーバーの間で送信される EAP メッセージは、ネットワーク アクセス サーバーと RADIUS サーバーの間の RADIUS メッセージとしてカプセル化およびフォーマットされます。RADIUS 経由で EAP を使用する場合は、EAP-RADIUS と呼ばれます。

EAP-RADIUS は、RADIUS が認証プロバイダーとして使われる環境で使用されます。EAP-RADIUS を使用する利点は、"EAP の種類" を RADIUS サーバーにインストールするだけでよく、各ネットワーク アクセス サーバーにインストールする必要がないことです。NPS サーバーの場合は、NPS サーバーに "EAP の種類" をインストールするだけでかまいません。

通常、EAP-RADIUS を使用する場合は、ルーティングとリモート アクセスを実行しているサーバーを、EAP を使用し、認証には NPS サーバーを使用するように構成します。接続が確立されると、リモート アクセス クライアントは、EAP を使用するようにネットワーク アクセス サーバーとネゴシエートします。クライアントが EAP メッセージをネットワーク アクセス サーバーに送信すると、ネットワーク アクセス サーバーは、EAP メッセージを RADIUS メッセージとしてカプセル化し、構成されている NPS サーバーに送信します。NPS サーバーは EAP メッセージを処理し、RADIUS でカプセル化した EAP メッセージをネットワーク アクセス サーバーに返します。次に、ネットワーク アクセス サーバーが、EAP メッセージをリモート アクセス クライアントに転送します。この構成では、ネットワーク アクセス サーバーは、パススルー デバイスとしてのみ動作しています。EAP メッセージの処理はすべて、リモート アクセス クライアントと NPS サーバーで行われています。

ルーティングとリモート アクセスは、ローカルで認証するように構成することも、RADIUS サーバーに対して認証するように構成することもできます。ルーティングとリモート アクセスをローカルで認証するように構成すると、すべての EAP メソッドはローカルで認証されます。ルーティングとリモート アクセスを RADIUS サーバーに対して認証するように構成すると、すべての EAP メッセージは EAP-RADIUS を使用して RADIUS サーバーに転送されます。

EAP 認証を有効にするには
  1. ネットワーク アクセス サーバーで EAP を認証プロトコルとして有効にします。詳細については、ネットワーク アクセス サーバーのドキュメントを参照してください。

  2. EAP を有効にし、必要に応じて適切なネットワーク ポリシーの制約に従って "EAP の種類" を構成します。

  3. リモート アクセス クライアントで EAP を有効にし、構成します。詳細については、アクセス クライアントのドキュメントを参照してください。


目次