Genişletilebilir Kimlik Doğrulama Protokolü (EAP), kimlik bilgilerini kullanan rasgele kimlik doğrulama yöntemlerine ve rasgele uzunluklarda bilgi alışverişine izin vererek Noktadan Noktaya Protokolü'nü (PPP) genişletir. EAP, akıllı kartlar, belirteç kartları ve şifre hesaplayıcılar gibi güvenlik aygıtlarını kullanan kimlik doğrulama yöntemleri sağlar. EAP, PPP içindeki diğer kimlik doğrulama yöntemlerini destekleyen endüstri standardı bir mimari sağlar.

EAP ve NPS

EAP kullanarak, EAP türleri olarak bilinen ek kimlik doğrulama düzenlerini destekleyebilirsiniz. Bu düzenler belirteç kartlarını, bir kullanımlık parolaları, akıllı kartlar kullanarak ortak anahtar kimlik doğrulamasını ve sertifikaları içerir. Güçlü EAP türleriyle birlikte kullanıldığında EAP, güvenli sanal özel ağ (VPN) bağlantıları, 802.1X kablolu bağlantılar ve 802.1X kablosuz bağlantılar için önemli bir teknoloji bileşenidir. Kimlik doğrulamanın başarılı olması için, hem ağ erişim istemcisinin hem de Ağ İlkesi Sunucusu (NPS) çalışan sunucu gibi bir doğrulayıcının aynı EAP türünü desteklemesi gerekir.

Önemli

Sertifikalara dayalı olanlar gibi güçlü EAP türleri, deneme yanılma saldırılarına veya sözlük saldırılarına ve parola tahmin etme saldırılarına karşı, Karşılıklı Kimlik Doğrulama Protokolü (CHAP) veya Microsoft Karşılıklı Kimlik Doğrulama Protokolü (MS-CHAP) gibi parola tabanlı kimlik doğrulama protokollerine göre daha iyi güvenlik sağlar.

EAP kullanıldığında, bir uzaktan erişim bağlantısının kimlik doğrulaması rasgele bir kimlik doğrulama düzeneğiyle yapılır. Kullanılacak kimlik doğrulama düzeni, uzaktan erişim istemcisi ve doğrulayıcı (ap erişim sunucusu veya Uzaktan Kimlik Doğrulama Araması Kullanıcı Hizmeti [RADIUS] sunucusu) arasında görüşülür. Yönlendirme ve Uzaktan Erişim, varsayılan olarak Genişletilebilir Kimlik Doğrulama Protokolü-Aktarım Katmanı Güvenliği (EAP-TLS) ve PEAP-MS-CHAP v2 için destek içerir. Diğer EAP yöntemlerini sağlamak üzere Yönlendirme ve Uzaktan Erişim çalışan sunucuya başka EAP modülleri takabilirsiniz.

EAP, uzaktan erişim istemcisi ile doğrulayıcı arasında açık uçlu iletişime olanak verir. Bu iletişim, kimlik doğrulama bilgileri için doğrulayıcı isteklerinden ve uzaktan erişim istemcisinin bunlara yanıtlarından oluşur. Örneğin, güvenlik belirteci kartlarıyla birlikte EAP kullanıldığında, doğrulayıcı, uzaktan erişim istemcisinin adını, PIN değerini ve belirteç kartı değerini ayrı olarak sorgulayabilir. Her sorgu gönderilip yanıt alındıkça, uzaktan erişim istemcisi başka bir kimlik doğrulama düzeyine geçer. Tüm sorular tatmin edici düzeyde yanıtlandığında, uzaktan erişim istemcisinin kimliği doğrulanır.

Windows Server® 2008, bir EAP altyapısı, iki EAP türü ve EAP iletilerini bir RADIUS sunucusuna geçirme özelliği (EAP-RADIUS) içerir.

EAP altyapısı

EAP, tüm EAP türleri için eklenti modülü biçiminde mimari desteği sağlayan bir dizi iç bileşendir. Kimlik doğrulamasının başarılı olması için, hem uzaktan erişim istemcisinde hem de doğrulayıcıda aynı EAP kimlik doğrulama modülünün yüklü olması gerekir. Başka EAP türleri de yükleyebilirsiniz. Bir EAP türünün bileşenleri her bir ağ erişim istemcisinde ve her doğrulayıcıda yüklü olmalıdır.

Not

Windows Server 2003 işletim sistemleri iki EAP türü sağlar: MD5-Çekişme ve EAP-TLS. MD5-Çekişme, Windows Server 2008 işletim sisteminde desteklenmemektedir.

EAP-TLS

EAP-TLS, sertifika tabanlı güvenlik ortamlarında kullanılan bir EAP türüdür. Uzaktan erişim kimlik doğrulaması için akıllı kartlar kullanıyorsanız, EAP-TLS kimlik doğrulama yöntemini kullanmalısınız. İletilerin EAP-TLS yoluyla değişimi sayesinde, uzaktan erişim istemcisi ve doğrulayıcı arasında karşılıklı kimlik doğrulaması, şifreleme yönteminin görüşülmesi ve şifreli anahtarın belirlenmesi sağlanabilir. EAP-TLS, en güçlü kimlik doğrulama ve anahtar belirleme yöntemini sağlar.

Not

EAP-TLS kimlik doğrulama işlemi sırasında, Microsoft Noktadan Noktaya Şifreleme (MPPE) için paylaşılan gizli şifreleme anahtarları oluşturulur.

EAP-TLS yalnızca, Yönlendirme ve Uzaktan Erişim hizmeti çalıştıran, Windows Kimlik Doğrulama veya Arayan Kullanıcının Uzaktan Kimliğini Doğrulama Hizmeti'ni (RADIUS) kullanmak üzere yapılandırılmış olan ve bir etki alanının üyesi olan sunucular tarafından desteklenir. Bağımsız bir sunucu olarak veya bir çalışma grubunun üyesi olarak çalışan bir ağ erişimi sunucusu, EAP-TLS'yi desteklemez.

EAP için aktarım olarak RADIUS kullanma

EAP için aktarım olarak RADIUS kullanmak, tüm EAP türlerinde EAP iletilerinin bir RADIUS istemci tarafından kimlik doğrulaması için bir RADIUS sunucusuna geçirilmesidir. Örneğin RADIUS kimlik doğrulaması için yapılandırılmış bir ağ erişim sunucusu için, uzaktan erişim istemcisi ile ağ erişim sunucusu arasında gönderilen EAP iletileri ağ erişim sunucusu ile RADIUS sunucusu arasında kapsüllenir ve RADIUS iletileri olarak biçimlendirilir. RADIUS üzerinden EAP kullandığınızda buna EAP-RADIUS adı verilir.

EAP-RADIUS, RADIUS'nin kimlik doğrulama sağlayıcısı olarak kullanıldığı ortamlarda kullanılır. EAP-RADIUS kullanmanın faydalarından biri de EAP türlerinin her ağ erişim sunucusuna yüklenmeleri gerekmemesidir, yalnızca RADIUS sunucusuna yüklenmeleri yeterlidir. Bir NPS sunucusu için, EAP türlerini yalnızca NPS sunucusuna yüklemeniz yeterlidir.

EAP-RADIUS'nin tipik bir kullanımında, Yönlendirme ve Uzaktan Erişim çalışan bir sunucu, kimlik doğrulama için EAP ve bir NPS sunucusu kullanacak biçimde yapılandırılır. Bir bağlantı oluşturulduğunda, uzaktan erişim istemcisi EAP kullanılmasını ağ erişim sunucusuyla görüşür. İstemci ağ erişim sunucusuna bir EAP iletisi gönderdiğinde, ağ erişim sunucusu EAP iletisini bir RADIUS iletisi olarak kapsüller ve onu yapılandırılmış NPS sunucusuna gönderir. NPS sunucusu EAP iletisini işler ve ağ erişim sunucusuna RADIUS olarak kapsüllenmiş bir EAP iletisi döndürür. Ağ erişim sunucusu daha sonra EAP iletisini uzaktan erişim istemcisine iletir. Bu yapılandırmada, ağ erişim sunucusu yalnızca bir geçiş aygıtıdır. EAP iletilerine yönelik tüm işlemler uzaktan erişim istemcisinde ve NPS sunucusunda gerçekleşir.

Yönlendirme ve Uzaktan Erişim, yerel olarak veya bir RADIUS sunucusunda kimlik doğrulaması yapılacak biçimde yapılandırılabilir. Yönlendirme ve Uzaktan Erişim yerel olarak kimlik doğrulaması yapılacak biçimde yapılandırılırsa, tüm EAP yöntemlerinin kimlik doğrulaması yerel olarak gerçekleşir. Yönlendirme ve Uzaktan Erişim bir RADIUS sunucusunda kimlik doğrulaması yapılacak biçimde yapılandırılırsa, tüm EAP iletileri EAP-RADIUS yardımıyla RADIUS sunucusuna iletilir.

EAP kimlik doğrulamasını etkinleştirmek için
  1. EAP'yi ağ erişim sunucusunda bir kimlik doğrulama protokolü olarak etkinleştirin. Daha fazla bilgi için, ağ erişim sunucusu belgelerinize bakın.

  2. EAP'yi etkinleştirin ve gerekirse EAP türünü ilgili ağ ilkesinin kısıtlamalarına göre yapılandırın.

  3. EAP'yi uzaktan erişim istemcisinde etkinleştirin ve yapılandırın. Daha fazla bilgi için, erişim istemcisi belgelerinize bakın.


İçindekiler