Протоколы проверки подлинности ЕАР
При помощи ЕАР (Extensible Authentication Protocol, расширяемый протокол идентификации) можно подключить любой механизм проверки подлинности (аутентификации), который будет проверять достоверность информации о пользователе, установившем соединение удаленного доступа. Точная схема аутентификации, используемая соединением, устанавливается в результате переговоров между клиентом удаленного доступа и сервером удаленного доступа. Можно применять ЕАР для поддержки разных схем аутентификации, например, типа General Token Card (Универсальная жетонная карта), MD5-Challenge (Запрос MD5), TLS (Transport Level Security, Защита транспортного уровня) для поддержки смарт-карт, а также S/Key.
Впрочем, можно использовать любые другие схемы, реализуемые в будущем. ЕАР позволяет производить открытые переговоры между клиентом удаленного доступа и сервером удаленного доступа, состоящие из запросов сервера на получение аутентификационной информации и соответствующих ответов клиента. Например, если ЕАР используется с жетонными картами, сервер удаленного доступа может отдельно запросить у клиента удаленного доступа название, PIN-код и емкость жетонной карты. Если на все вопросы получены удовлетворительные ответы, клиент удаленного доступа аутентифицируется и получает разрешение на удаленный доступ к сети.
Специальная схема проверки подлинности ЕАР называется типом ЕАР (ЕАР type). Для успешной проверки подлинности клиента клиент удаленного доступа и сервер удаленного доступа должны поддерживать один и тот же тип ЕАР.
Windows 2000 включает поддержку инфраструктуры ЕАР, два типа ЕАР (EAP-MD5 CHAP и EAP-TLS) и возможность передавать сообщения ЕАР серверу RADIUS (EAP-RADIUS).
Чтобы разрешить проверку подлинности на базе ЕАР, нужно:
- Разрешить ЕАР как протокол проверки подлинности на сервере удаленного доступа.
- Разрешить ЕАР, и, если требуется, настроить тип ЕАР для соответствующей политики удаленного доступа.
- Разрешить и настроить ЕАР на стороне клиента удаленного доступа под управлением Windows 2000.