Иллюстрированный самоучитель по Windows2000

       

Протоколы проверки подлинности ЕАР


При помощи ЕАР (Extensible Authentication Protocol, расширяемый протокол идентификации) можно подключить любой механизм проверки подлинности (аутентификации), который будет проверять достоверность информации о пользователе, установившем соединение удаленного доступа. Точная схема аутентификации, используемая соединением, устанавливается в результате переговоров между клиентом удаленного доступа и сервером удаленного доступа. Можно применять ЕАР для поддержки разных схем аутентификации, например, типа General Token Card (Универсальная жетонная карта), MD5-Challenge (Запрос MD5), TLS (Transport Level Security, Защита транспортного уровня) для поддержки смарт-карт, а также S/Key. Впрочем, можно использовать любые другие схемы, реализуемые в будущем. ЕАР позволяет производить открытые переговоры между клиентом удаленного доступа и сервером удаленного доступа, состоящие из запросов сервера на получение аутентификационной информации и соответствующих ответов клиента. Например, если ЕАР используется с жетонными картами, сервер удаленного доступа может отдельно запросить у клиента удаленного доступа название, PIN-код и емкость жетонной карты. Если на все вопросы получены удовлетворительные ответы, клиент удаленного доступа аутентифицируется и получает разрешение на удаленный доступ к сети.

Специальная схема проверки подлинности ЕАР называется

типом ЕАР

(ЕАР type). Для успешной проверки подлинности клиента клиент удаленного доступа и сервер удаленного доступа должны поддерживать один и тот же тип ЕАР.

Windows 2000 включает поддержку инфраструктуры ЕАР, два типа ЕАР (EAP-MD5 CHAP и EAP-TLS) и возможность передавать сообщения ЕАР серверу RADIUS (EAP-RADIUS).

Чтобы разрешить проверку подлинности на базе ЕАР, нужно:

Разрешить ЕАР как протокол проверки подлинности на сервере удаленного доступа.

Разрешить ЕАР, и, если требуется, настроить тип ЕАР для соответствующей политики удаленного доступа.



Разрешить и настроить ЕАР на стороне клиента удаленного доступа под управлением Windows 2000.



Содержание раздела