使用可擴展的身份驗證協(xié)議 (EAP),任意身份驗證機制都可以對遠程訪問連接進行身份驗證,。通過遠程 VPN 客戶端和驗證程序(ISA 服務(wù)器或 RADIUS 服務(wù)器)協(xié)商要使用的確切身份驗證方案。ISA 服務(wù)器包括默認情況下支持 Message Digest 5 Challenge (MD5-Challenge) 和 EAP-Transport Level Security (EAP-TLS),。
EAP 允許遠程 VPN 客戶端和驗證程序之間進行開端對話,。對話由對身份驗證信息的驗證程序請求和遠程 VPN 客戶端的響應(yīng)組成。例如,,當(dāng) EAP 與安全標(biāo)記卡一起使用時,,驗證程序可以單獨查詢遠程訪問客戶端的名稱、PIN 和卡標(biāo)記值,。經(jīng)過提問和回答一輪查詢之后,,遠程訪問客戶端將通過身份驗證的另一個級別。正確回答所有問題之后,,將對遠程訪問客戶端進行身份驗證,。
特定的 EAP 身份驗證方案稱為 EAP 類型。遠程訪問客戶端和驗證程序必須支持相同的 EAP 類型才能成功進行身份驗證,。
有關(guān)配置身份驗證方法的說明,,請參閱配置 VPN 身份驗證方法。
EAP 結(jié)構(gòu)
EAP 是一組以插件模塊的形式為任何 EAP 類型提供結(jié)構(gòu)支持的內(nèi)部組件,。為了成功進行身份驗證,,遠程訪問客戶端和驗證程序必須安裝相同的 EAP 身份驗證模塊。ISA 服務(wù)器支持兩種 EAP 類型:MD5-Challenge 和 EAP-TLS,。
MD5-Challenge
Message Digest 5 Challenge (MD5-Challenge) 是一種必需的 EAP 類型,,其使用與基于 PPP 的 CHAP 相同的質(zhì)詢/握手協(xié)議,但是質(zhì)詢和響應(yīng)是作為 EAP 消息發(fā)送的,。MD5-Challenge 的典型用法是通過使用用戶名和密碼安全系統(tǒng)對遠程 VPN 客戶端的憑據(jù)進行身份驗證,。您還可以使用 MD5-Challenge 來測試 EAP 的互操作性。
EAP-TLS
EAP-Transport Level Security (EAP-TLS) 是在基于證書的安全環(huán)境中使用的 EAP 類型,。如果您將智能卡用于遠程訪問身份驗證,,則必須使用 EAP-TLS 身份驗證方法。EAP-TLS 的消息交換可以提供遠程 VPN 客戶端和驗證程序之間的相互身份驗證,、加密方法的協(xié)商和加密密鑰的確定,。EAP-TLS 提供了最強大的身份驗證和密鑰確定方法。
EAP-RADIUS
EAP-RADIUS 并不是一種 EAP 類型,,但是可以通過驗證程序?qū)⑷魏?EAP 類型的 EAP 消息傳遞到 RADIUS 服務(wù)器,,以便進行身份驗證,。例如,將 ISA 服務(wù)器配置為用于 RADIUS 身份驗證時,,將封裝在遠程 VPN 客戶端和 ISA 服務(wù)器之間發(fā)送的 EAP 消息,,并在遠程訪問服務(wù)器和 RADIUS 服務(wù)器之間將格式設(shè)置為 RADIUS 消息。
EAP-RADIUS 用在將 RADIUS 作為身份驗證提供程序的環(huán)境中,。使用 EAP-RADIUS 的優(yōu)勢在于不需要在每個遠程訪問服務(wù)器上安裝 EAP 類型,,只需要在 RADIUS 服務(wù)器上安裝即可。在 Internet 驗證服務(wù) (IAS) 中,,只需要在 ISA 服務(wù)器上安裝 EAP 類型,。