Omówienie protokołu EAP

Protokół EAP pozwala obsługiwać dodatkowe schematy uwierzytelniania, nazywane typami protokołu EAP. Te schematy obejmują karty tokenów, hasła jednorazowe, uwierzytelnianie z użyciem klucza publicznego za pomocą kart inteligentnych oraz certyfikaty. Protokół EAP w połączeniu z silnymi typami protokołu EAP jest krytycznym składnikiem technologii bezpiecznych połączeń wirtualnej sieci prywatnej (VPN), połączeń przewodowych 802.1X oraz połączeń bezprzewodowych 802.1X. Aby uwierzytelnienie zakończyło się pomyślnie, zarówno klient dostępu do sieci, jak i wystawca uwierzytelnienia - na przykład serwer, na którym działa serwer zasad sieciowych (NPS) - muszą obsługiwać ten sam typ protokołu EAP.

	Ważne
	Silne typy protokołu EAP, na przykład typy oparte na certyfikatach, oferują lepsze zabezpieczenia przeciwko atakom metodą siłową, atakom słownikowym oraz zgadywaniu hasła niż protokoły uwierzytelniania oparte na hasłach, takie jak CHAP (Challenge Handshake Authentication Protocol) czy MS-CHAP (Microsoft Challenge Handshake Authentication Protocol).

W protokole EAP dowolny mechanizm uwierzytelniania może służyć do uwierzytelniania połączenia dostępu zdalnego. Schemat uwierzytelnienia, który ma zostać użyty, jest negocjowany między klientem dostępu zdalnego a wystawcą uwierzytelniania (serwerem dostępu do sieci albo serwerem RADIUS). Usługa Routing i dostęp zdalny domyślnie obsługuje protokoły EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) oraz PEAP-MS-CHAP w wersji 2. Aby zapewnić inne metody protokołu EAP, można podłączyć inne moduły protokołu EAP do serwera z uruchomioną usługą Routing i dostęp zdalny.

Protokół EAP umożliwia nieograniczoną konwersację między klientem dostępu zdalnego i wystawcą uwierzytelnienia. Konwersacja składa się z żądań wystawcy uwierzytelnienia, które dotyczą informacji uwierzytelniania, oraz odpowiedzi klienta dostępu zdalnego. Jeśli na przykład protokół EAP jest używany z kartami tokenów zabezpieczeń, wystawca uwierzytelnienia może osobno wysyłać do klienta dostępu zdalnego zapytania dotyczące nazwy, numeru PIN i wartości karty tokenu. Po przetworzeniu każdego zapytania klient dostępu zdalnego przechodzi kolejny etap uwierzytelniania. Klient dostępu zdalnego zostaje uwierzytelniony po udzieleniu poprawnych odpowiedzi na wszystkie zapytania.

System Windows Server® 2008 oferuje infrastrukturę protokołu EAP, dwa typy protokołu EAP oraz możliwość wysyłania komunikatów protokołu EAP do serwera RADIUS (mechanizm EAP-RADIUS).

Protokół EAP to zestaw wewnętrznych składników, który oferuje obsługę architektury dowolnego typu protokołu EAP w formie modułu dodatku plug-in. Aby uwierzytelnienie powiodło się, zarówno klient dostępu zdalnego, jak i wystawca uwierzytelnienia muszą mieć zainstalowany ten sam moduł uwierzytelnienia protokołu EAP. Można również zainstalować dodatkowe typy protokołu EAP. Składniki typu protokołu EAP muszą zostać zainstalowane na każdym kliencie dostępu do sieci oraz na każdym wystawcy uwierzytelnienia.

	Uwaga
	Systemy operacyjne Windows Server 2003 oferują dwa typy protokołu EAP: MD5-Challenge oraz EAP-TLS. Typ MD5-Challenge nie jest obsługiwany przez system Windows Server 2008.

Protokół EAP-TLS jest typem protokołu EAP używanym w środowiskach zabezpieczeń opartych na certyfikatach. Uwierzytelnianie dostępu zdalnego z użyciem kart inteligentnych wymaga użycia metody uwierzytelniania protokołu EAP-TLS. Wymiana komunikatów protokołu EAP-TLS zapewnia uwierzytelnianie obustronne, negocjowanie metody szyfrowania i określanie zaszyfrowanego klucza między klientem dostępu zdalnego i wystawcą uwierzytelnienia. Protokół EAP-TLS zapewnia najsilniejszą metodę uwierzytelniania i określania klucza.

	Uwaga
	Podczas procesu uwierzytelniania za pomocą protokołu EAP-TLS są generowane wspólne tajne klucze szyfrowania MPPE (Microsoft Point-to-Point Encryption).

Protokół EAP-TLS jest obsługiwany tylko przez serwery z uruchomioną usługą Routing i dostęp zdalny, skonfigurowane do używania uwierzytelniania systemu Windows lub usługi RADIUS (Remote Authentication Dial-In User Service) i będące elementami członkowskimi domeny. Serwer dostępu do sieci działający jako serwer autonomiczny lub element członkowski grupy roboczej nie obsługuje protokołu EAP-TLS.

Używanie usługi RADIUS jako transportu dla protokołu EAP polega na przekazywaniu komunikatów dowolnego typu protokołu EAP przez usługę RADIUS do serwera RADIUS w celu uwierzytelnienia. Na przykład w przypadku serwera dostępu do sieci, który jest skonfigurowany do uwierzytelniania przy użyciu usługi RADIUS, komunikaty protokołu EAP przesyłane między klientem i serwerem dostępu do sieci są hermetyzowane i formatowane jako komunikaty usługi RADIUS między serwerem dostępu zdalnego i serwerem usługi RADIUS. Przekazywanie protokołu EAP za pośrednictwem usługi RADIUS jest nazywane mechanizmem EAP-RADIUS.

Mechanizmu EAP-RADIUS używa się w środowiskach, w których dostawcą uwierzytelnienia jest usługa RADIUS. Zaleta korzystania z mechanizmu EAP-RADIUS polega na tym, że wystarczy zainstalować typy protokołu EAP tylko na serwerze usługi RADIUS, zamiast na każdym serwerze dostępu do sieci. W przypadku serwera NPS wystarczy zainstalować typy protokołu EAP tylko na serwerze NPS.

W przypadku typowego zastosowania mechanizmu EAP-RADIUS serwer z uruchomioną usługą Routing i dostęp zdalny jest skonfigurowany do uwierzytelniania za pośrednictwem protokołu EAP i serwera NPS. Po nawiązaniu połączenia klient dostępu zdalnego negocjuje użycie protokołu EAP z serwerem dostępu do sieci. Gdy klient wysyła komunikat EAP do serwera dostępu do sieci, komunikat EAP jest hermetyzowany jako komunikat usługi RADIUS przez serwer dostępu do sieci i wysłany do skonfigurowanego serwera NPS. Serwer NPS przetwarza komunikat EAP i odsyła ten komunikat w postaci hermetyzowanego komunikatu usługi RADIUS do serwera dostępu do sieci. Następnie serwer dostępu do sieci przesyła dalej komunikat protokołu EAP do klienta dostępu zdalnego. W takiej konfiguracji serwer dostępu do sieci jest tylko urządzeniem przekazującym. Przetwarzanie komunikatów protokołu EAP odbywa się tylko na kliencie dostępu zdalnego i serwerze NPS.

Usługę Routing i dostęp zdalny można skonfigurować do uwierzytelniania lokalnego lub za pośrednictwem serwera usługi RADIUS. Jeśli usługa Routing i dostęp zdalny jest skonfigurowana do uwierzytelniania lokalnego, wszystkie metody protokołu EAP są uwierzytelniane lokalnie. Jeśli usługa Routing i dostęp zdalny jest skonfigurowana do uwierzytelniania za pośrednictwem serwera usługi RADIUS, wszystkie komunikaty protokołu EAP są przesyłane dalej do serwera RADIUS przy użyciu mechanizmu EAP-RADIUS.