Протокол EAP является расширением протокола PPP посредством предоставления методов произвольной проверки подлинности, в которых используется обмен учетными данными и другими данными произвольной длины. Протокол EAP поддерживает методы проверки подлинности с использованием устройств обеспечения безопасности, таких как смарт-карты, токен-карты и криптографические калькуляторы. Протокол EAP обеспечивает стандарт архитектуры для поддержки дополнительных методов проверки подлинности в рамках протокола PPP.
Протокол EAP и NPS
Протокол EAP обеспечивает поддержку дополнительных схем проверки подлинности, которые называются типами EAP. К данным схемам относятся токен-карты, одноразовые пароли, проверка подлинности открытого ключа с использованием смарт-карт и сертификаты. Протокол EAP в сочетании со строгими типами EAP, является критически важным технологическим компонентом для подключений по защищенной виртуальной частной сети, подключений проводной сети 802.1X и беспроводной сети 802.1X. Для успешной проверки подлинности клиент сетевого доступа, например сервер политики сети, и устройство проверки подлинности должны поддерживать один и тот же тип EAP.
Важно! | |
Строгие типы EAP, например, основанные на сертификатах, обеспечивают лучшую защиту от атак с подбором пароля с использованием перебора паролей или словарей, чем протоколы проверки подлинности на основе паролей, такие как CHAP или MS-CHAP. |
Протокол EAP использует механизм произвольной проверки подлинности подключения удаленного доступа. Схема проверки подлинности согласуется клиентом удаленного доступа и устройством проверки подлинности (сервером доступа к сети или RADIUS-сервером). Служба маршрутизации и удаленного доступа по умолчанию поддерживает протоколы EAP-TLS и PEAP-MS-CHAP v2. Для поддержки других способов проверки подлинности EAP можно подключить другие модули EAP к серверу, на котором выполняется служба маршрутизации и удаленного доступа.
Протокол EAP поддерживает открытый сеанс связи между клиентом удаленного доступа и устройством проверки подлинности. Сеанс связи включает в себя запросы сведений проверки подлинности устройством проверки подлинности и ответы от клиента удаленного доступа. Например, если протокол EAP используется с токен-картами безопасности, устройство проверки подлинности может отдельно запрашивать у клиента удаленного доступа его имя, ПИН-код и значение токена карты. При получении ответа на посланный запрос клиент удаленного доступа проходит очередной уровень проверки подлинности. При получении удовлетворительных ответов на все вопросы клиент удаленного доступа проходит проверку подлинности.
Windows Server® 2008 включает инфраструктуру EAP, два типа EAP, а также средство передачи сообщений EAP в RADIUS-сервер (EAP-RADIUS).
Инфраструктура EAP
Протокол EAP представляет собой набор внутренних компонентов, обеспечивающих архитектурную поддержку любого типа EAP, представленный в форме подключаемого модуля. Для успешного выполнения подлинности как на клиенте удаленного доступа, так и на устройстве проверки подлинности должен быть установлен одинаковый модуль проверки подлинности по протоколу EAP. Дополнительно можно установить другие типы EAP. Компоненты для конкретного типа EAP должны быть установлены на каждом клиенте доступа к сети и каждом устройстве проверки подлинности.
Примечание | |
В операционной системе Windows Server 2003 доступно два типа EAP: MD5-Challenge и EAP-TLS. Тип MD5-Challenge не поддерживается в Windows Server 2008. |
Протокол EAP-TLS
Протокол EAP-TLS - это тип EAP, которых используется в средах безопасности на основе сертификатов. Если проверка подлинности выполняется с помощью смарт-карт, необходимо использовать способ проверки подлинности EAP-TLS. Обмен сообщениями EAP-TLS обеспечивает взаимную проверку подлинности, согласование способа шифрования и определение шифрованного ключа между клиентом удаленного доступа и средством проверки подлинности. Протокол EAP-TLS гарантирует наиболее надежный способ проверки подлинности и определения ключа.
Примечание | |
В процессе проверки подлинности по протоколу EAP-TLS создаются общие секретные ключи шифрования для шифрования MPPE. |
Протокол EAP-TLS поддерживается только на серверах, на которых запущена служба маршрутизации и удаленного доступа, использующих проверку подлинности Windows или RADIUS и являющихся членами домена. Серверы доступа к сети, функционирующие в качестве автономных серверов или членов рабочей группы, не поддерживают протокол EAP-TLS.
Использование протокола RADIUS в качестве транспорта для протокола EAP
Под использованием протокола RADIUS в качестве транспорта для протокола EAP подразумевается передача RADIUS-клиентом RADIUS-серверу сообщений EAP с любым типом EAP для выполнения проверки подлинности. Например, в случае с сервером доступа к сети, использующим проверку подлинности RADIUS, сообщения EAP, передаваемые между клиентом и сервером доступа к сети, инкапсулируются и форматируются в виде сообщений RADIUS между сервером доступа к сети и сервером RADIUS. Использование протокола EAP поверх протокола RADIUS называется протоколом EAP-RADIUS.
Протокол EAP-RADIUS используется в средах, где проверку подлинности выполняет служба RADIUS. Преимуществом использования протокола EAP-RADIUS является отсутствие необходимости устанавливать типы EAP на каждом сервере доступа к сети – это требуется только на RADIUS-сервере. Если на сервер запущен NPS-сервер, требуется только установить типы EAP на данном NPS-сервере.
При обычном применении протокола EAP-RADIUS сервер под управлением службы маршрутизации и удаленного доступа использует EAP и выполняет проверку подлинности с помощью сервера NPS. При установке подключения клиент удаленного доступа согласует использование EAP с сервером доступа к сети. Когда клиент посылает серверу доступа к сети сообщение EAP, этот сервер инкапсулирует данное сообщение EAP в виде сообщения RADIUS и посылает его на настроенный NPS-сервер. NPS-сервер обрабатывает сообщение EAP и возвращает инкапсулированное в RADIUS сообщение EAP серверу доступа к сети. Затем сервер доступа к сети переадресует это сообщение EAP клиенту удаленного доступа. В данной конфигурации сервер удаленного доступа является только промежуточным устройством. Вся обработка сообщений EAP выполняется на клиенте удаленного доступа и NPS-сервере.
Служба маршрутизации и удаленного доступа может выполнять проверку подлинности локально или на RADIUS-сервере. Если служба маршрутизации и удаленного доступа выполняет проверку подлинности локально, все способы EAP будут также проверяться локально. Если служба маршрутизации и удаленного доступа выполняет проверку подлинности на RADIUS-сервере, все сообщения EAP будут переадресовываться данному RADIUS-серверу по протоколу EAP-RADIUS.
Включение проверки подлинности по протоколу EAP |
-
Включите EAP в качестве протокола проверки подлинности на сервере доступа к сети. Дополнительные сведения см. в документации по серверу доступа к сети.
-
Включите EAP и при необходимости настройте тип EAP в соответствии с ограничениями подходящей сетевой политики.
-
Включите и настройте EAP на клиенте удаленного доступа. Дополнительные сведения см. в документации по клиенту доступа к сети.