EAP 身份驗證方法

   使用可擴展的身份驗證協(xié)議(EAP)，任意身份驗證機制都可以對遠程訪問連接進行身份驗證。通過遠程 VPN 客戶端和驗證程序(ISA服務(wù)器或 RADIUS服務(wù)器)協(xié)商要使用的確切身份驗證方案。ISA 服務(wù)器包括默認情況下支持 Message Digest 5Challenge(MD5-Challenge) 和 EAP-Transport Level Security (EAP-TLS)。

     EAP 允許遠程VPN客戶端和驗證程序之間進行開端對話。對話由對身份驗證信息的驗證程序請求和遠程 VPN 客戶端的響應(yīng)組成。例如，當(dāng)EAP與**標(biāo)記卡一起使用時，驗證程序可以單獨查詢遠程訪問客戶端的名稱、PIN和卡標(biāo)記值。經(jīng)過提問和回答一輪查詢之后，遠程訪問客戶端將通過身份驗證的另一個級別。正確回答所有問題之后，將對遠程訪問客戶端進行身份驗證。

     特定的 EAP 身份驗證方案稱為EAP類型。遠程訪問客戶端和驗證程序必須支持相同的 EAP 類型才能成功進行身份驗證。

有關(guān)配置身份驗證方法的說明，請參閱配置 VPN 身份驗證方法。

EAP 結(jié)構(gòu)

     EAP 是一組以插件模塊的形式為任何EAP類型提供結(jié)構(gòu)支持的內(nèi)部組件。為了成功進行身份驗證，遠程訪問客戶端和驗證程序必須安裝相同的 EAP 身份驗證模塊。ISA服務(wù)器支持兩種EAP 類型：MD5-Challenge 和 EAP-TLS。

MD5-Challenge

     Message Digest 5Challenge(MD5-Challenge) 是一種必需的 EAP 類型，其使用與基于 PPP 的CHAP相同的質(zhì)詢/握手協(xié)議，但是質(zhì)詢和響應(yīng)是作為 EAP消息發(fā)送的。MD5-Challenge的典型用法是通過使用用戶名和密碼**系統(tǒng)對遠程 VPN 客戶端的憑據(jù)進行身份驗證。您還可以使用MD5-Challenge 來測試EAP 的互操作性。

EAP-TLS

     EAP-Transport Level Security(EAP-TLS)是在基于證書的**環(huán)境中使用的 EAP 類型。如果您將智能卡用于遠程訪問身份驗證，則必須使用EAP-TLS身份驗證方法。EAP-TLS 的消息交換可以提供遠程VPN客戶端和驗證程序之間的相互身份驗證、加密方法的協(xié)商和加密密鑰的確定。EAP-TLS 提供了*強大的身份驗證和密鑰確定方法。

EAP-RADIUS

     EAP-RADIUS 并不是一種 EAP類型，但是可以通過驗證程序?qū)⑷魏蜤AP 類型的 EAP 消息傳遞到 RADIUS 服務(wù)器，以便進行身份驗證。例如，將 ISA服務(wù)器配置為用于 RADIUS身份驗證時，將封裝在遠程 VPN 客戶端和 ISA 服務(wù)器之間發(fā)送的 EAP 消息，并在遠程訪問服務(wù)器和RADIUS服務(wù)器之間將格式設(shè)置為 RADIUS 消息。

     EAP-RADIUS 用在將 RADIUS作為身份驗證提供程序的環(huán)境中。使用EAP-RADIUS 的優(yōu)勢在于不需要在每個遠程訪問服務(wù)器上安裝 EAP 類型，只需要在RADIUS 服務(wù)器上安裝即可。在Internet 驗證服務(wù) (IAS) 中，只需要在 ISA 服務(wù)器上安裝 EAP 類型。