可扩展的身份验证协议 (EAP) 通过允许使用凭据的任意身份验证方法和任意长度的信息交换扩展了点对点协议 (PPP)。EAP 提供使用安全设备(如智能卡、令牌卡和加密计算器)的身份验证方法。EAP 提供了支持 PPP 中其他身份验证方法的行业标准的体系结构。
EAP 和 NPS
使用 EAP,可以支持其他身份验证方案(称为“EAP 类型”)。这些方案包括令牌卡、一次性密码、使用智能卡的公钥身份验证以及证书。EAP(结合强 EAP 类型)是安全虚拟专用网络 (VPN) 连接、802.1X 有线连接和 802.1X 无线连接的关键技术组件。只有网络访问客户端与身份验证器(如运行网络策略服务器 (NPS) 的服务器)支持相同的 EAP 类型时,才能成功地进行身份验证。
 | 重要 |
|
强 EAP 类型(如基于证书的类型)提供的针对暴力攻击或字典攻击以及密码猜测的安全性比基于密码的身份验证协议(如质询握手身份验证协议 (CHAP) 或 Microsoft 质询握手身份验证协议 (MS-CHAP))更高。 |
借助 EAP,任意身份验证机制都可以对远程访问连接进行身份验证。要使用的身份验证方案由远程访问客户端与身份验证器(网络访问服务器或远程身份验证拨入用户服务 [RADIUS] 服务器)协商而定。默认情况下,路由和远程访问包括对可扩展身份验证协议-传输层安全 (EAP-TLS) 和 PEAP-MS-CHAP v2 的支持。可以将其他 EAP 模块插入运行“路由和远程访问”的服务器,以提供其他 EAP 方法。
EAP 允许在远程访问客户端与身份验证器之间进行开放式对话。对话包括身份验证器对身份验证信息的请求以及由远程访问客户端发出的响应。例如,EAP 与安全令牌卡一起使用时,身份验证器可以单独在远程访问客户端中查询名称、PIN 和令牌卡值。随着每个查询的问答,远程访问客户端进入另一个身份验证级别。所有问题均得到满意的解答后,远程访问客户端即完成身份验证。
Windows Server(R) 2008 包括 EAP 基础结构、两种 EAP 类型,以及将 EAP 消息传递到 RADIUS 服务器 (EAP-RADIUS) 的功能。
EAP 基础结构
EAP 是一组内部组件,采用插件模块的形式为任何 EAP 类型提供体系结构支持。为成功执行身份验证,远程访问客户端和身份验证器必须安装相同的 EAP 身份验证模块。还可以安装其他 EAP 类型。必须将 EAP 类型的组件安装在每个网络访问客户端和每个身份验证器上。
 | 注意 |
|
Windows Server 2003 操作系统提供两种 EAP 类型:MD5 质询和 EAP-TLS。MD5 质询在 Windows Server 2008 中不受支持。 |
EAP-TLS
EAP-TLS 是在基于证书的安全环境中使用的 EAP 类型。如果使用智能卡进行远程访问身份验证,必须使用 EAP-TLS 身份验证方法。EAP-TLS 消息交换在远程访问客户端与身份验证器之间提供相互身份验证、加密方法协商以及加密密钥确定。EAP-TLS 提供最强大的身份验证方法和密钥确定方法。
| 注意 |
|
在 EAP-TLS 身份验证过程中,将生成用于 Microsoft 点对点加密 (MPPE) 的共享机密加密密钥。 |
只有运行“路由和远程访问”的服务器、配置为使用 Windows 身份验证或远程身份验证拨入用户服务 (RADIUS) 的服务器以及作为域成员的服务器支持 EAP-TLS。作为独立服务器运行的网络访问服务器或作为工作组成员的网络访问服务器不支持 EAP-TLS。
使用 RADIUS 作为 EAP 的传输方法
使用 RADIUS 作为 EAP 的传输方法就是通过 RADIUS 客户端将任何 EAP 类型的 EAP 消息传递到 RADIUS 服务器进行身份验证。例如,对于配置为进行 RADIUS 身份验证的网络访问服务器,在远程访问客户端与网络访问服务器之间发送的 EAP 消息在网络访问服务器与 RADIUS 服务器之间封装并格式化为 RADIUS 消息。通过 RADIUS 使用 EAP 时,称为 EAP-RADIUS。
EAP-RADIUS 在 RADIUS 用作身份验证提供程序的环境中使用。使用 EAP-RADIUS 的优势在于不必在每台网络访问服务器上安装 EAP 类型,只需要在 RADIUS 服务器上安装即可。如果是 NPS 服务器,则只需要在 NPS 服务器上安装 EAP 类型。
在 EAP-RADIUS 的典型用法中,将运行“路由和远程访问”的服务器配置为使用 EAP 并使用 NPS 服务器进行身份验证。建立连接后,远程访问客户端与网络访问服务器协商 EAP 的使用。客户端向网络访问服务器发送 EAP 消息时,网络访问服务器将 EAP 消息封装为 RADIUS 消息并将其发送到已配置的 NPS 服务器。NPS 服务器处理 EAP 消息并将 RADIUS 封装的 EAP 消息发送回网络访问服务器。然后,网络访问服务器将 EAP 消息转发到远程访问客户端。在此配置中,网络访问服务器是唯一的传递设备。对 EAP 消息的所有处理均在远程访问客户端和 NPS 服务器上进行。
可以将“路由和远程访问”配置为在本地进行身份验证,或向 RADIUS 服务器进行身份验证。如果将“路由和远程访问”配置为在本地进行身份验证,所有 EAP 方法均将在本地进行身份验证。如果将“路由和远程访问”配置为向 RADIUS 服务器进行身份验证,所有 EAP 消息均将使用 EAP-RADIUS 转发到 RADIUS 服务器。
 | 启用 EAP 身份验证的步骤 |
启用 EAP 作为网络访问服务器上的身份验证协议。有关详细信息,请参阅您的网络访问服务器文档。
启用 EAP,如果需要,在相应网络策略的约束中配置 EAP 类型。
在远程访问客户端上启用并配置 EAP。有关详细信息,请参阅您的访问客户端文档。