O EAP (Extensible Authentication Protocol) vai além do protocolo PPP (Point-to-Point Protocol) ao permitir métodos arbitrários de autenticação que usam credenciais e troca de informações de comprimentos arbitrários. O EAP fornece métodos de autenticação que utilizam dispositivos de segurança, como cartões inteligentes, cartões de token e calculadoras de criptografia. O EAP oferece uma arquitetura de padrão industrial para suporte a métodos de autenticação adicionais dentro do PPP.

EAP e NPS

Ao usar o EAP, você pode suportar esquemas de autenticação adicionais, conhecidos como Tipos de EAP. Esses esquemas incluem cartões de token, senhas de uso único, autenticação de chave pública usando cartões inteligentes e certificados. O EAP, usado em conjunto com tipos EAP robustos, é um componente de tecnologia importante em conexões VPN seguras e em conexões 802.1X em rede com fio ou sem fio. Tanto o cliente de acesso à rede como o autenticador, tal como o servidor que estiver executando o NPS, devem suportar o mesmo tipo de EAP para que a autenticação seja bem-sucedida.

Importante

Os tipos EAP robustos, como aqueles baseados em certificados, oferecem melhor nível de segurança contra métodos de força bruta ou ataques de dicionário e tentativas de adivinhar senhas do que os protocolos de autenticação baseados em senhas, como CHAP ou MS-CHAP.

Com o EAP, um mecanismo de autenticação arbitrário autentica uma conexão de acesso remoto. O esquema de autenticação a ser usado é negociado entre o cliente de acesso remoto e o autenticador (que pode ser o servidor de acesso remoto ou o servidor RADIUS). Roteamento e Acesso Remoto incluem suporte para EAP-TLS e PEAP-MS-CHAP v2, por padrão. Você pode conectar outros módulos EAP ao servidor executando o Roteamento e Acesso Remoto para oferecer outros métodos EAP.

O EAP permite conversação ilimitada entre o cliente de acesso remoto e o autenticador. A conversação consiste no autenticador solicitando informações de autenticação e nas respostas do cliente de acesso remoto. Por exemplo, quando o EAP é usado com cartões de token de segurança, o autenticador pode solicitar separadamente ao cliente de acesso remoto o seu nome, PIN e valor do token do cartão. À medida que cada consulta é feita e respondida, o cliente de acesso remoto passa para outro nível de autenticação. Quando todas as perguntas forem respondidas satisfatoriamente, o cliente de acesso remoto será autenticado.

O Windows Server® 2008 inclui uma infraestrutura EAP, dois tipos EAP e a capacidade de enviar mensagens EAP a um servidor RADIUS (EAP-RADIUS).

infraestrutura EAP

O EAP é um conjunto de componentes internos que oferece suporte de arquitetura a qualquer tipo de EAP na forma de um módulo plug-in. Para que a autenticação seja bem-sucedida, ambos o cliente de acesso remoto e o autenticador devem ter o mesmo módulo de autenticação EAP instalado. Também é possível instalar tipos EAP adicionais. Os componentes para um tipo EAP devem ser instalados em cada cliente de acesso de rede e em cada autenticador.

Observação

Os sistemas operacionais Windows Server 2003 oferecem dois tipos de EAP: MD5-Challenge e EAP-TLS. O MD5-Challenge não é suportado pelo Windows Server 2008.

EAP-TLS

O EAP-TLS (Transport Level Security) é um tipo de EAP usado em ambientes de segurança baseados em certificado. Se estiver usando cartões inteligentes para autenticação de acesso remoto, use o método de autenticação EAP-TLS. A troca de mensagens do EAP-TLS oferece autenticação mútua, negociação do método de criptografia e determinação da chave criptografada entre o cliente de acesso remoto e o autenticador. O EAP-TLS oferece os métodos mais robustos de autenticação e determinação de chave.

Observação

Durante o processo de autenticação de EAP-TLS, são geradas chaves de criptografia secretas compartilhadas para MPPE (Microsoft Point-to-Point Encryption).

O EAP-TLS é suportado somente em servidores executando o Roteamento e Acesso Remoto, configurados para usar a Autenticação do Windows ou RADIUS e que sejam membros de um domínio. Um servidor de acesso remoto executado como um servidor autônomo ou membro de um grupo de trabalho não oferecerá suporte ao EAP-TLS.

Usar RADIUS como transporte para EAP

Usar RADIUS como transporte para EAP consiste em enviar mensagens EAP (de qualquer tipo) de um cliente RADIUS para um servidor RADIUS para autenticação. Por exemplo, para um servidor de acesso de rede configurado para autenticação RADIUS, as mensagens EAP enviadas entre o cliente de acesso remoto e o servidor de acesso de rede são encapsuladas e formatadas como mensagens RADIUS entre o servidor de acesso remoto e o servidor RADIUS. Quando EAP é usado no servidor RADIUS, ele é denominado EAP-RADIUS.

O EAP-RADIUS é usado em ambientes onde o RADIUS é o provedor de autenticação. Uma vantagem da utilização de EAP-RADIUS é que os tipos EAP não precisam ser instalados em cada servidor de acesso de rede, mas somente no servidor RADIUS. No caso de um servidor NPS, você só precisa instalar tipos EAP no servidor NPS.

Um exemplo típico de EAP-RADIUS é um servidor executando o Roteamento e Acesso Remoto configurado para usar EAP e para usar um servidor NPS para autenticação. Quando uma conexão é feita, o cliente de acesso remoto negocia a utilização de EAP com o servidor de acesso de rede. Quando o cliente envia uma mensagem EAP ao servidor de acesso remoto, o servidor de acesso de rede encapsula a mensagem EAP como uma mensagem RADIUS e a envia ao servidor NPS configurado. O servidor NPS processa a mensagem EAP e envia uma mensagem EAP RADIUS encapsulada de volta ao servidor de acesso de rede. Em seguida, o servidor de acesso de rede encaminha a mensagem EAP ao cliente de acesso remoto. Nessa configuração, o servidor de acesso de rede é somente um dispositivo de passagem. Todo o processamento das mensagens EAP ocorre no cliente de acesso remoto e no servidor NPS.

O Roteamento e Acesso Remoto pode ser configurado para fazer autenticação local ou em um servidor RADIUS. Caso o Roteamento e Acesso Remoto esteja configurado para autenticação local, todos os métodos EAP serão autenticados localmente. Caso o Roteamento e Acesso Remoto esteja configurado para autenticação em um servidor RADIUS, todas as mensagens EAP serão encaminhadas ao servidor RADIUS com EAP-RADIUS.

Para habilitar a autenticação EAP
  1. Habilite o EAP como um protocolo de autenticação no servidor de acesso de rede. Para obter mais informações, consulte a documentação do seu servidor de acesso de rede.

  2. Habilite o EAP e, se necessário, configure restrições para o tipo de EAP na diretiva de rede apropriada.

  3. Habilite e configure o EAP no cliente de acesso remoto. Para obter mais informações, consulte a documentação do seu cliente de acesso.


Sumário