可延伸的驗證通訊協定 (EAP) 藉由允許使用任意長度的認證與資訊交換的任意驗證方法,延伸點對點通訊協定 (PPP)。EAP 提供的驗證方法會使用安全性裝置,例如智慧卡、權杖卡及加密編譯計算機。EAP 提供工業標準架構,以支援 PPP 中的其他驗證方法。

EAP 與 NPS

您可以使用 EAP 支援其他驗證配置,稱為「EAP 類型」。這些配置包含權杖卡、單次密碼、使用智慧卡的公開金鑰驗證以及憑證。結合強式 EAP 類型的 EAP 是保護虛擬私人網路 (VPN) 連線、802.1X 有線連線以及 802.1X 無線連線安全的重要技術元件。網路存取用戶端與驗證者 (例如執行網路原則伺服器 (NPS) 的伺服器) 都必須支援相同的 EAP 類型,才能成功完成驗證。

重要

強式 EAP 類型 (例如以憑證為基礎的類型) 針對暴力密碼破解或字典攻擊與密碼猜測提供的安全性,比密碼驗證通訊協定 (例如 Challenge Handshake 驗證通訊協定 (CHAP) 或 Microsoft Challenge Handshake 驗證通訊協定 (MS-CHAP)) 更好。

利用 EAP,任意驗證機制都可以驗證遠端存取連線。使用的驗證配置由遠端存取用戶端與驗證者 (網路存取伺服器或遠端驗證撥入使用者服務 [RADIUS] 伺服器) 交涉。根據預設值,路由及遠端存取包括對於可延伸驗證通訊協定-傳輸層安全性 (EAP-TLS) 與 PEAP-MS-CHAP v2 的支援。您可以將其他 EAP 模組插入執行路由及遠端存取的伺服器,以提供其他 EAP 方法。

EAP 允許遠端存取用戶端與驗證器之間的開放端交談。交談包含驗證資訊的驗證者要求,以及遠端存取用戶端的回應。例如,當 EAP 搭配安全性權杖卡使用時,驗證器可以分別查詢遠端存取用戶端的名稱、PIN 以及權杖卡值。詢問和回應每個查詢之後,遠端存取用戶端會通過另一個驗證等級。當所有問題都已經得到滿意回應時,就會驗證遠端存取用戶端。

Windows Server® 2008 包含一個 EAP 基礎結構、兩個 EAP 類型以及傳送 EAP 訊息至 RADIUS 伺服器 (EAP-RADIUS) 的能力。

EAP 基礎結構

EAP 是一組內部元件,以嵌入式管理單元模組的形式提供任何 EAP 類型的結構支援。如果是成功的驗證,遠端存取用戶端與驗證者都必須安裝相同的 EAP 驗證模組。您也可以安裝其他的 EAP 類型。必須在每個網路存取用戶端與每個驗證者上安裝 EAP 類型的元件。

附註

Windows Server 2003 作業系統提供兩個 EAP 類型:MD5-Challenge 與 EAP-TLS。Windows Server 2008 中不支援 MD5-Challenge。

EAP-TLS

EAP-TLS 是用於憑證式安全性環境的 EAP 類型。如果您使用智慧卡執行遠端存取驗證,就必須使用 EAP-TLS 驗證方法。訊息的 EAP-TLS 交換提供相互驗證、加密方法交涉以及決定遠端存取用戶端與驗證器之間的加密金鑰。EAP-TLS 提供最強的驗證與金鑰決定方法。

附註

在 EAP-TLS 驗證程序中,會產生 Microsoft 點對點加密 (MPPE) 的共用密碼加密金鑰。

只有執行路由及遠端存取、設定為使用 [Windows 驗證] 或遠端驗證撥號使用者服務 (RADIUS) 且身為網域成員的伺服器,才能支援 EAP-TLS。以獨立伺服器或工作群組成員身分執行的網路存取伺服器不支援 EAP-TLS。

使用 RADIUS 做為 EAP 的傳輸

使用 RADIUS 做為 EAP 的傳輸是藉由 RADIUS 用戶端傳送任何 EAP 類型的 EAP 訊息至 RADIUS 伺服器進行驗證。例如,對於設定用於 RADIUS 驗證的網路存取伺服器,將會壓縮遠端存取用戶端與網路存取伺服器之間傳送的 EAP 訊息,並格式化成網路存取伺服器與 RADIUS 伺服器之間的 RADIUS 訊息。透過 RADIUS 使用 EAP 時,它被稱為 EAP-RADIUS。

EAP-RADIUS 可在 RADIUS 做為驗證提供者的環境中使用。使用 EAP-RADIUS 的優點是不需要在每個網路存取伺服器安裝 EAP 類型,只要在 RADIUS 伺服器安裝即可。在 NPS 伺服器的情況下,您只需要在 NPS 伺服器安裝 EAP 類型。

通常在使用 EAP-RADIUS 時,會將執行路由及遠端存取的伺服器設定為使用 EAP 與 NPS 伺服器來驗證。建立連線時,遠端存取用戶端會與網路存取伺服器交涉使用 EAP。當用戶端傳送 EAP 訊息給網路存取伺服器時,網路存取伺服器會將 EAP 訊息壓縮成 RADIUS 訊息,然後傳送至設定的 NPS 伺服器。NPS 伺服器處理 EAP 訊息,然後傳送以 RADIUS 壓縮的 EAP 訊息回網路存取伺服器。然後網路存取伺服器會將 EAP 訊息轉送給遠端存取用戶端。在此設定中,網路存取伺服器只是一個傳遞裝置。所有的 EAP 訊息處理都發生於遠端存取用戶端與 NPS 伺服器。

路由及遠端存取可以設定成在本機驗證或在 RADIUS 伺服器驗證。若路由及遠端存取設定為在本機驗證,則本機將會驗證所有 EAP 方法。如果路由及遠端存取設定為在 RADIUS 伺服器驗證,則將使用 EAP-RADIUS 將所有 EAP 訊息轉送至 RADIUS 伺服器。

啟用 EAP 驗證
  1. 啟用 EAP 做為網路存取伺服器上的驗證通訊協定。如需相關資訊,請參閱網路存取伺服器文件。

  2. 啟用 EAP,必要時在適當網路原則的限制下設定 EAP 類型。

  3. 啟用和設定遠端存取用戶端上的 EAP。如需相關資訊,請參閱存取用戶端文件。


目錄