Exportar (0) Imprimir
Expandir Tudo

EAP

Atualizado: janeiro de 2005

Aplica-se a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

EAP

Com o protocolo EAP (protocolo de autenticação extensível), um mecanismo de autenticação arbitrária autentica uma conexão de acesso remoto. O esquema exato de autenticação a ser usado é negociado pelo cliente de acesso remoto e o autenticador (o servidor de acesso remoto ou o servidor RADIUS [Remote Authentication Dial-In User Service]). Por padrão, o <b>Roteamento e acesso remoto</b> inclui suporte para EAP-TLS e MD5-Challenge. Você pode conectar outros módulos EAP ao servidor que executa o <b>Roteamento e acesso remoto</b> para fornecer outros métodos EAP.

O EAP permite uma conversação ilimitada entre o cliente de acesso remoto e o autenticador. A conversação consiste em solicitações de informações de autenticação feitas pelo autenticador e as respostas enviadas pelo cliente de acesso remoto. Por exemplo, quando o EAP é usado com cartões de segurança token, o autenticador pode consultar separadamente o cliente de acesso remoto para localizar um nome, PIN ou um valor de cartão token. À medida que cada consulta é feita e respondida, o cliente de acesso remoto passa para outro nível de autenticação. Quando todas as perguntas tiverem sido respondidas satisfatoriamente, o cliente de acesso remoto será autenticado.

Um esquema de autenticação EAP específico é conhecido como um tipo EAP. Tanto o cliente de acesso remoto quanto o autenticador devem dar suporte ao mesmo tipo EAP para que ocorra uma autenticação bem-sucedida.

A família Windows Server 2003 inclui uma infra-estrutura EAP, dois tipos EAP e a capacidade de passar mensagens EAP para um servidor RADIUS (EAP-RADIUS).

Infra-estrutura EAP

O EAP é um conjunto de componentes internos que oferece suporte de arquitetura a qualquer tipo EAP na forma de um módulo plug-in. Para uma autenticação bem-sucedida, tanto o cliente de acesso remoto quanto o autenticador devem ter o mesmo módulo de autenticação EAP instalado. A família Windows Server 2003 fornece dois tipos EAP: MD5-Challenge e EAP-TLS. EAP-TLS está disponível somente para membros de um domínio. Você também pode instalar tipos EAP adicionais. Os componentes de um tipo EAP devem ser instalados em todos os clientes de acesso remoto e em todos os autenticadores.

MD5-Challenge

O MD5-Challenge é um tipo EAP obrigatório que usa o mesmo protocolo de autenticação de handshake de desafio que o CHAP baseado no protocolo PPP (protocolo ponto a ponto), mas os desafios e as respostas são enviados como mensagens EAP.

Um uso típico para o MD5-Challenge é a autenticação das credenciais de clientes de acesso remoto utilizando sistemas de segurança por senha e nome de usuário. Você também pode usar o MD5-Challenge para testar a interoperabilidade EAP.

EAP-TLS

O EAP-TLS (EAP-segurança da camada de transporte) é um tipo EAP usado em ambientes de segurança baseados em certificado. Se você estiver usando cartões inteligentes para autenticação de acesso remoto, deverá utilizar o método de autenticação EAP-TLS. A troca de mensagens EAP-TLS proporciona a autenticação mútua, negociação do método de criptografia e determinação de chave de criptografia entre o cliente de acesso remoto e o autenticador. O EAP-TLS proporciona o método mais seguro de determinação de chaves e autenticação.

Existe suporte para o EAP-TLS somente em servidores que executam o Roteamento e Acesso Remoto, que estejam configurados para usar a autenticação do Windows ou RADIUS e que sejam membros de um domínio. Um servidor de acesso remoto que seja executado de forma autônoma ou como membro de um grupo de trabalho não oferece suporte ao EAP-TLS.

Para obter informações sobre como configurar cartões inteligentes para clientes de acesso remoto, consulte Usar cartões inteligentes para acesso remoto.

EAP-RADIUS

O EAP-RADIUS não é um tipo EAP, mas a passagem de mensagens EAP de qualquer tipo EAP por um autenticador para um servidor RADIUS para autenticação. Por exemplo, em um servidor de acesso remoto que está configurado para a autenticação RADIUS, as mensagens EAP enviadas entre o cliente de acesso remoto e o servidor de acesso remoto são encapsuladas e formatadas como mensagens RADIUS entre o servidor de acesso remoto e o servidor RADIUS.

O EAP-RADIUS é usado em ambientes em que o RADIUS é usado como o provedor de autenticação. Uma vantagem de usar o EAP-RADIUS é que os tipos EAP não precisam ser instalados em cada servidor de acesso remoto, mas apenas no servidor RADIUS. No caso de um servidor IAS, você só necessitará instalar tipos EAP no servidor IAS.

Em uma utilização típica do EAP-RADIUS, um servidor que executa o Roteamento e Acesso Remoto é configurado para usar o EAP e para utilizar um servidor IAS para autenticação. Quando uma conexão é feita, o cliente de acesso remoto negocia o uso do EAP com o servidor de acesso remoto. Quando o cliente envia uma mensagem EAP para o servidor de acesso remoto, esse servidor faz o encapsulamento da mensagem EAP como uma mensagem RADIUS e a envia ao servidor IAS configurado. O servidor IAS processa a mensagem EAP e envia uma mensagem EAP encapsulada como RADIUS de volta ao servidor de acesso remoto. Em seguida, o servidor de acesso remoto encaminha a mensagem EAP ao cliente de acesso remoto. Nessa configuração, o servidor de acesso remoto é apenas um dispositivo de passagem. Todo o processamento das mensagens EAP ocorre no cliente de acesso remoto e no servidor IAS.

O <b>Roteamento e acesso remoto</b> pode ser configurado para autenticar localmente ou para um servidor RADIUS. Se o <b>Roteamento e acesso remoto</b> estiver configurado para autenticar localmente, todos os métodos EAP serão autenticados localmente. Se o <b>Roteamento e acesso remoto</b> estiver configurado para autenticar para um servidor RADIUS, todas as mensagens EAP serão encaminhadas para o servidor RADIUS com EAP-RADIUS.

Para obter mais informações sobre como configurar um servidor que executa o Roteamento e Acesso Remoto para o EAP-RADIUS, consulte Configurar EAP-RADIUS.

Ativando o EAP

Para ativar a autenticação com base no EAP, você deve fazer o seguinte:

  1. Ative o EAP como um protocolo de autenticação no servidor de acesso remoto. Para obter mais informações, consulte Habilitar o EAP.

  2. Ative o EAP e, se necessário, configure o tipo EAP na diretiva de acesso remoto apropriada. Para obter mais informações, consulte Introdução às diretivas de acesso remoto e Configurar a autenticação.

  3. Ative e configure o EAP no cliente de acesso remoto. Para obter mais informações sobre o EAP, consulte protocolo de autenticação extensível (EAP).

Observação

  • Certifique-se de que o seu servidor de acesso à rede (NAS) oferece suporte ao EAP antes de ativá-lo em uma diretiva de acesso remoto em um servidor IAS. Para obter mais informações, consulte a documentação do NAS.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft