Протокол EAP
Протокол EAP (Extensible Authentication Protocol) был создан с целью
упразднения
частных
механизмов
аутентификации
и
распространения
стандартизированных подходов – схем типа "запрос-ответ" (challenge-response) и
инфраструктуры, основанной на публичных ключах и пользовательских
сертификатах. Стандартизация механизмов EAP позволила сделать процедуру
аутентификации прозрачной для серверов доступа различных производителей.
Например, при подключении пользователя к серверу удаленного доступа и
использовании механизма EAP протокола PPP для аутентификации сам сервер
доступа не должен знать или поддерживать конкретные механизмы или алгоритмы
аутентификации, его задача в этом случае – лишь передать пакеты EAP-сообщений
RADIUS-серверу, на котором фактически производится аутентификация. В этом
144
случае сервер доступа исполняет роль посредника между клиентом и RADIUS-
сервером, в задачи которого входит передача EAP-сообщений между ними.
Перечислим наиболее распространенные методы аутентификации
LEAP – алгоритм взаимной аутентификации с использованием пароля.
Пропреоретарный метод от Cisco systems. Поддерживается оборудованием
компании Cisco.
EAP-MD5 - процедура односторонней аутентификации саппликанта
сервером аутентификации, основанная на применении хэш-суммы MD5 имени
пользователя и пароля как подтверждение для сервера RADIUS. Данный метод не
поддерживает ни управления ключами, ни создания динамических ключей.
Является простейшим и не стойким методом.
EAP-TLS
-
процедура
аутентификации,
которая
предполагает
использование цифровых сертификатов Х.509 в рамках инфраструктуры открытых
ключей (Public Key Infrastructure – PKI). EAP-TLS поддерживает динамическое
создание ключей и взаимную аутентификацию между саппликантом и сервером
аутентификации. Недостатком данного метода является необходимость поддержки
инфраструктуры открытых ключей. EAP-TTLS - EAP, разработанный компаниями
Funk Software и Certicom и расширяющий возможности EAP-TLS. EAP-TTLS
использует безопасное соединение, установленное в результате TLS-квитирования
для обмена дополнительной информацией между саппликантом и сервером
аутентификации. В результате дальнейший процесс может производиться с
помощью других протоколов аутентификации, например таких, как: PAP, CHAP,
MS-CHAP или MS-CHAP-V2. EAP-PEAP – этот метод перед непосредственной
аутентификацией пользователя сначала образует TLS-туннель между клиентом и
сервером аутентификации. А уже внутри этого туннеля осуществляется сама
аутентификация с использованием стандартного EAP (MD5, TLS, MSCHAP V2).
EAP-MSCHAP V2 - метод аутентификации на основе логина/пароля пользователя в
MS-сетях. Данный метод поддерживает функции управления ключами и создания
динамических ключей.
145
Достарыңызбен бөлісу: |