基礎知識解讀：可擴展的驗證協議EAP

EAP 身份驗證方法

   使用可擴展的身份驗證協議(EAP)，任意身份驗證機製都可以對遠程訪問連接進行身份驗證。通過遠程 VPN 客戶端和驗證程序(ISA服務器或 RADIUS服務器)協商要使用的確切身份驗證方案。ISA 服務器包括默認情況下支持 Message Digest 5Challenge(MD5-Challenge) 和 EAP-Transport Level Security (EAP-TLS)。

     EAP 允許遠程VPN客戶端和驗證程序之間進行開端對話。對話由對身份驗證信息的驗證程序請求和遠程 VPN 客戶端的響應組成。例如，當EAP與**標記卡一起使用時，驗證程序可以單獨查詢遠程訪問客戶端的名稱、PIN和卡標記值。經過提問和回答一輪查詢之後，遠程訪問客戶端將通過身份驗證的另一個級彆。正確回答所有問題之後，將對遠程訪問客戶端進行身份驗證。

     特定的 EAP 身份驗證方案稱為EAP類型。遠程訪問客戶端和驗證程序必須支持相同的 EAP 類型才能成功進行身份驗證。

有關配置身份驗證方法的說明，請參閱配置 VPN 身份驗證方法。

EAP 結構

     EAP 是一組以插件模塊的形式為任何EAP類型提供結構支持的內部組件。為了成功進行身份驗證，遠程訪問客戶端和驗證程序必須安裝相同的 EAP 身份驗證模塊。ISA服務器支持兩種EAP 類型：MD5-Challenge 和 EAP-TLS。

MD5-Challenge

     Message Digest 5Challenge(MD5-Challenge) 是一種必需的 EAP 類型，其使用與基於 PPP 的CHAP相同的質詢/握手協議，但是質詢和響應是作為 EAP消息發送的。MD5-Challenge的典型用法是通過使用用戶名和密碼**係統對遠程 VPN 客戶端的憑據進行身份驗證。您還可以使用MD5-Challenge 來測試EAP 的互操作性。

EAP-TLS

     EAP-Transport Level Security(EAP-TLS)是在基於證書的**環境中使用的 EAP 類型。如果您將智能卡用於遠程訪問身份驗證，則必須使用EAP-TLS身份驗證方法。EAP-TLS 的消息交換可以提供遠程VPN客戶端和驗證程序之間的相互身份驗證、加密方法的協商和加密密鑰的確定。EAP-TLS 提供了*強大的身份驗證和密鑰確定方法。

EAP-RADIUS

     EAP-RADIUS 並不是一種 EAP類型，但是可以通過驗證程序將任何EAP 類型的 EAP 消息傳遞到 RADIUS 服務器，以便進行身份驗證。例如，將 ISA服務器配置為用於 RADIUS身份驗證時，將封裝在遠程 VPN 客戶端和 ISA 服務器之間發送的 EAP 消息，並在遠程訪問服務器和RADIUS服務器之間將格式設置為 RADIUS 消息。

     EAP-RADIUS 用在將 RADIUS作為身份驗證提供程序的環境中。使用EAP-RADIUS 的優勢在於不需要在每個遠程訪問服務器上安裝 EAP 類型，隻需要在RADIUS 服務器上安裝即可。在Internet 驗證服務 (IAS) 中，隻需要在 ISA 服務器上安裝 EAP 類型。