Протокол ЕАР
Протокол ЕАР (Extensible Authentication Protocol) представляет собой расширяемый механизм аутентификации, позволяющий унифицировать процесс проверки подлинности пользователей, предоставляя при этом участникам соединения возможность использования самых разнообразных схем аутентификации. Спецификация протокола ЕАР описывает способы подключения самых разнообразных схем аутентификации (в числе которых – смарт-карты, протокол RADIUS и т. п.). Можно рассматривать протокол ЕАР как универсальную платформу для реализации любых необходимых схем аутентификаций. Точная схема аутентификации, используемая участниками соединения, устанавливается в результате переговоров между клиентом удаленного доступа и сервером удаленного доступа.
Протокол ЕАР позволяет производить открытые переговоры между клиентом удаленного доступа и сервером удаленного доступа, состоящие из запросов сервера на получение аутентифицирующей информации и соответствующих ответов клиента. Например, если ЕАР используется совместно со смарт-картами, сервер удаленного доступа может отдельно запросить у клиента удаленного доступа название, PIN-код и емкость смарт-карты. Если на все вопросы получены удовлетворительные ответы, клиент удаленного доступа считается аутентифицированным и получает разрешение на удаленный доступ к сети.
Специальная схема проверки подлинности ЕАР называется типом ЕАР (ЕАР type). Для успешной проверки подлинности и клиент удаленного доступа, и сервер удаленного доступа должны поддерживать один и тот же тип ЕАР.
В Windows Server 2003 реализована поддержка двух типов ЕАР (EAP-MD5 CHAP и EAP-TLS). Однако при необходимости администратор может расширить функциональность протокола ЕАР, добавив поддержку других типов ЕАР. Для этого достаточно подключить соответствующие модули аутентификации. Необходимо, однако, помнить о том, что для успешной аутентификации соответствующий модуль должен быть подключен как на сервере удаленного доступа, так и на клиенте удаленного доступа.
Кроме того, в рамках Windows Server 2003 предусмотрена возможность передачи сообщений протокола ЕАР внутри сообщений протокола RADIUS (компонент EАР-RADIUS). Эта возможность может быть использована в ситуации, когда в сети эксплуатируется инфраструктура протокола RADIUS как основной механизм аутентификации. При этом инфраструктура RADIUS может быть использована для передачи сообщений протокола ЕАР.
Чтобы обеспечить проверку подлинности на базе ЕАР, необходимо:
- разрешить ЕАР как протокол аутентификации на сервере удаленного доступа;
- разрешить ЕАР, и, если требуется, настроить тип ЕАР для соответствующей политики удаленного доступа;
- разрешить и настроить ЕАР на стороне клиента удаленного доступа.