EAP 是一组以插件模块的形式为任何 EAP 类型提供结构支持的内部组件。为了成功进行身份验证,远程访问客户端和验证程序必须安装相同的 EAP 身份验证模块。ISA 服务器支持两种 EAP 类型:MD5-Challenge 和 EAP-TLS。
MD5-Challenge
Message Digest 5 Challenge (MD5-Challenge) 是一种必需的 EAP 类型,其使用与基于 PPP 的 CHAP 相同的质询/握手协议,但是质询和响应是作为 EAP 消息发送的。MD5-Challenge 的典型用法是通过使用用户名和密码安全系统对远程 客户端的凭据进行身份验证。您还可以使用 MD5-Challenge 来测试 EAP 的互 *** 作性。
EAP-TLS
EAP-Transport Level Security (EAP-TLS) 是在基于证书的安全环境中使用的 EAP 类型。如果您将智能卡用于远程访问身份验证,则必须使用 EAP-TLS 身份验证方法。EAP-TLS 的消息交换可以提供远程 客户端和验证程序之间的相互身份验证、加密方法的协商和加密密钥的确定。EAP-TLS 提供了最强大的身份验证和密钥确定方法。
EAP-RADIUS
EAP-RADIUS 并不是一种 EAP 类型,但是可以通过验证程序将任何 EAP 类型的 EAP 消息传递到 RADIUS 服务器,以便进行身份验证。例如,将 ISA 服务器配置为用于 RADIUS 身份验证时,将封装在远程 客户端和 ISA 服务器之间发送的 EAP 消息,并在远程访问服务器和 RADIUS 服务器之间将格式设置为 RADIUS 消息。
EAP-RADIUS 用在将 RADIUS 作为身份验证提供程序的环境中。使用 EAP-RADIUS 的优势在于不需要在每个远程访问服务器上安装 EAP 类型,只需要在 RADIUS 服务器上安装即可。在 Internet 验证服务 (IAS) 中,只需要在 ISA 服务器上安装 EAP 类型。
EAP协议帧结构
8021x协议在实现整个认证的过程中,其三个关键部分(客户端、认证系统、认证服务器)之间是通过不同的通信协议进行交互的,其中认证系统和认证服务器之间是EAP报文。
EAP帧结构如下表所示: 字段 字节 Code 1 Identifier 2 Length 3-4 Data 5-N EAP帧格式中各字段含义如下: 字段 占用字节数 描述 Code 1个字节 表示EAP帧四种类型:1.Request;2.Response
3.Success;4.Failure Identifier 1个字节 用于匹配Request和Response。Identifier的值和系统端口一起单独标识一个认证过程 Length 2个字节 表示EAP帧的总长度 Data 0或更多字节 表示EAP数据 其中Code的取值如下:
1:Request
2:Response
3:Success
4:Failure
参考:EAPoL协议
8021x协议定义了一种报文封装格式,这种报文称为EAPoL(EAP over LANs局域网上的扩展认证协议)报文,主要用于在客户端和认证系统之间传送EAP协议报文,以允许EAP协议报文在LAN上传送。
标准EAPoL帧结构如下表所示: 字段 字节PAE Ethernet Type 1-2 Protocol Version 3 Packet Type 4 Packet Body Length 5-6 Packet Body 7-N EAPoL帧格式中各字段含义如下: 字段 占用字节 描述 PAE Ethernet Type 2个字节 表示协议类型,8021x分配的协议类型为888E Protocol Version 1个字节 表示EAPOL 帧的发送方所支持的协议版本号。本规范使用值为0000 0001 Packet Type 1个字节 表示传送的帧类型,如下几种帧类型:
a) EAP-Packet值为 0000 0000
b)EAPOL-Start值为0000 0001
b) EAPOL-Logoff值为0000 0010 Packet Body Length 2个字节 表示Packet Body的长度 Packet Body 0/多字节 如果Packet Type为EAP-Packet,取相应值。对于其他帧类型,该值为空。 EAPOL帧在二层传送时,必须要有目标MAC地址,当客户端和认证系统彼此之间不知道发送的目标时,其目标MAC地址使用由8021x协议分配的组播地址01-80-c2-00-00-03。
(1) 客户端向接入设备发送一个EAPoL-Start报文,开始8021x认证接入;
(2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4) 接入设备将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中,发送给认证服务器;
(5) 认证服务器产生一个Challenge,通过接入设备将RADIUSAccess-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;
(7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备;
(8) 接入设备将Challenge,ChallengedPassword和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证;
(9) RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;
(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCPRelay),通过接入设备获取规划的IP地址;
(11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
EAP-PEAP:
(12) RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。
EAP-PEAP:
(1)TLS 握手阶段
申请者向认证者发送EAPOL-Start 帧,启动8021x 认证流程。认证者向申请者发送
EAP-Request/Idnetity消息,要求申请者提供自己的身份。申请者发送EAP-Response/Identity
消息给认证者,消息中的Identity 域存放用户的网络访问标识符(Network Access Identifier,
NAI),一般为用户名@域名的形式。认证者将此EAP 消息通过RADIUS 协议封装后,转
发给认证服务器。认证服务器开始PEAP 认证,发送EAP-Request/PEAP/Start 消息给认证者,
认证者将其转发给申请者。这时开始TLS 握手过程,建立TLS 隧道。
申请者发送 EAP-Response/Clint_Hello 消息发送给认证者,Client_Hello 握手消息包含
TLS 版本号、客户端随机数、会话ID、客户端支持的密码算法套件和压缩算法(为NULL)。
认证者将EAP 消息转发给认证服务器。认证服务器从Client_Hello 消息中的密码算法套件挑
选出自己支持的一组密码算法,连同服务器端随机数、会话ID、压缩算法组成Server_Hello
消息。Server_Hello、服务器端证书、Server_Key_Exchange 和Server_Hello_Done消息被封
装到EAP 消息中发送给认证者,认证者转发这个EAP 消息给申请者。申请者收到后验证服
务器的数字证书,并回复给服务器密钥材料Clinet_Key_Exchange、Change_Cipher_ Spec 和
Finisisd 消息。认证服务器接收到认证者发来的EAP 消息后,验证Finished 消息的正确性,
并回复自己的Change_Cipher_Spec 和Finished 消息给申请者。申请者收到认证服务器的消
息后校验Finished 消息,并发送一个空响应给认证服务器来进行第二阶段认证。此时申请者
和认证服务器协商都推导出会话密钥,从而建立了一个加密隧道,为接下来的第二阶段EAP
认证提供机密性和完整性服务。
(2)隧道阶段
利用 TLS 记录层协议,认证服务器初始化一个新的EAP 认证。新的交换过程根据具体
EAP 认证方法的要求,完成对申请者身份的认证。值得注意的是,当这一阶段认证方法结
束之后,在隧道内认证服务器和申请者会互相发送一个EAP-TLV/ Result-TLV 数据包来揭示
认证的结果。最后认证服务器根据第二阶段EAP 方法的认证结果,发送给认证者和申请者
的EAP-Success 或EAP-Failure 消息,整个PEAP 认证过程结束。 1工作组情况下的身份验证使用本地计算机来完成的;域环境下的身份验证是由DC来完成的,因此服务器也必须加入到域中成为域成员,不要把DC和服务器搭建在一台服务器,还有就是客户进行连接是不用输入域名。
2远程访问服务(Remote Access Service,RAS)允许客户机通过拨号连接或虚拟专用连接登陆的网络。
3Windows Server 2003远程访问服务提供了两种远程登陆的方式:拨号网络、虚拟专用网。
4拨号网络的组件:拨号网络客户端、远程访问服务器、wan结构、远程访问协议、lan协议。
5Vpn组件:客户端(可能是计算机和路由器)、服务器、隧道、连接、隧道协议(pptp和L2tp)、传输互联网络。
6远程访问服务器的属性包括常规、安全、ip、ppp和日志。
7在客户端建立连接时要输入服务器的ip地址,输入的是服务器的外网地址。
8常用的拨号方式:PPTP、L2TP。
9身份验证的方法:智能卡(EAP服务器与客户端必须全有智能卡)、CHAP1、CHAP2
10相同的帐户可以在不同的计算机上同时登陆,但是他们所用的端口是不同的。
11PPTP和L2TP的端口默认是128个,但是可以自己修改。
12服务器可以随时断开与客户的连接。
13在服务器上应用远程访问策略可以是连接更加安全,策略包括条件、权限和配置文件。
14远程访问的权限:允许访问、拒绝访问、通过远程访问策略控制访问。
15回拨选项:不回拨(由拨叫方付费)、有呼叫方设置(由服务器端付费)、总是回拨到(由服务器端付费,更安全)。
16只有提升域的安全级别才能够采用“通过远程访问策略”来验证权限,第一次提升域功能级别要重启计算机。
17远程访问策略的配置文件包括:拨入限制、ip、多重链接、身份验证(PAP、CHAP、MS-CHAP、MS-CHAP v2、EAP)、加密(无加密、基本加密、增强加密、最强加密)、高级。
18Windows默认的远程访问策略是不能删除的,如果删除即使不用远程访问策略也不能访问。
19远程访问的排错:检查硬件是否正常、远程访问服务是否启动、如果服务启动,检查服务器的配置、用户帐户的拨入属性配置是否正确、远程访问策略是否正确、客户端配置是否正确。
20常见故障及解决方法:
1>在客户机拨入时,显示“本帐户没有拨入权限”。
可能的原因:用户帐户拨入属性中设置拒绝权限、远程访问策略的条件不满足、远程访问策略中配置拒绝访问的权限、没有远程访问策略。
2>在客户机拨入时,总是d出对话框提示重新输入用户名和密码。
可能的原因:密码输入错误、用户名输入错误。
3>在客户机拨入时,显示身份验证协议问题。
可能原因:客户端域远程访问服务器的身份验证方式不匹配。可扩展身份验证协议 (EAP) 允许使用凭据和信息的任意身份验证方法,从而扩展了点对点协议 (PPP) 的任意长度的交换。 EAP 的开发中使用安全设备如智能卡、 令牌卡和加密计算器) 的身份验证方法的要求的响应。 EAP 提供行业标准的体系结构支持 PPP 内的其他身份验证方法。
EAP 允许进行远程访问客户端和身份验证者之间开放式对话。 对话包括身份验证者的身份验证信息的请求和远程访问客户端的响应。 例如,当与安全令牌卡一起使用 EAP,身份验证器可以分别查询远程访问客户端的名称、 PIN 和卡记号值。 随着每个查询是询问和回答,远程访问客户端通过身份验证的另一个级别。 当已得到满意的解答所有问题时,远程访问客户端进行身份验证。
Windows Server 2008 包括 EAP 基础结构、 两种 EAP 类型,并能够将 EAP 消息传递给 RADIUS 服务器 (EAP 半径)具体步骤如下:
1、在开始按钮单击右键后找到“设备管理器”,点击进入;
2、找到网络适配器,在有问题的以太网卡或者无线网卡上点击右键,选择“属性”(或直接双击该网卡);
3、点击“电源管理”选项卡,取消勾选“允许计算机关闭此设备以节约电源”后点击确定;
如果是由于电源管理选项导致的断网,此时应该能够解决问题。如果问题依然存在,可能是路由器等其他设备导致,那就需要检查这些设备的设置或者驱动问 题。可用系统自带的“疑难解答”(在任务栏网络图标上点右键,选择“疑难解答”)确认到底是什么问题导致网络问题的存在。
以上就是Win10系统网络经常掉线的解决方法了,Win10掉线大多数时候都是网卡的问题,而网卡的问题又是因为节能设置。在Windows XP中,EAP-TLS身份验证类型的IEEE 8021X身份验证默认是对所有基于LAN的网络适配器启用的。为了在运行Windows XP的计算机上配置8021X设置,请使用“网络连接”中某个局域网连接属性对话框上的“身份验证”选项卡。
“在“身份验证”选项卡上,您可以配置以下设置:
“启用使用IEEE 8021X的网络访问控制”这个复选框指定您是否想要使用IEEE 8021X来对这个连接执行身份验证。该选项默认启用。
Windows XP局域网连接在一次连接尝试中发送三个EAP-Start消息来提示身份验证者(以太网交换机或无线AP)开始基于EAP的身份验证过程。如果接收到一条EAP-Request/Identity消息,IEEE 8021X身份验证对该端口来说就不是必需的,因此这个局域网连接将发送常规流量来配置网络连接。如果接收到一条EAP-Request/Identity消息,则启动IEEE 8021X身份验证。
因此对于以太局域网连接,如果以太网交换机不支持IEEE 8021X,启用这个设置不会损害连接性能。然而,如果以太网交换机确实需要IEEE 8021X身份验证,那么禁用这个设置就会损害网络连接性能。
EAP类型 您可以使用这个选项来选择将用于IEEE 8021X身份验证的EAP类型。这个列表对应于安装在计算机上的EAP动态连接库(DLL)。默认的EAP类型是“MD-5 Challenge”和“智能卡或其他证书”。“智能卡或其他证书”类型面向EAP-TLS。默认选定“智能卡或其他证书EAP”,而且必须用于无线访问。
“属性”单击这个按钮,配置选定的EAP类型的属性。“MD-5 Challenge”EAP类型没有可配置的属性。
“当计算机信息可用时作为计算机进行身份验证”这个复选框指定在没有用户登录时,该计算机是否要尝试使用计算机凭证(比如:计算机证书)来进行身份验证。这个选项默认启用。
“当计算机信息不可用时作为访客进行身份验证”这个复选框指定当用户或计算机凭证不可用时,该计算机是否要尝试作为访客来进行身份验证。这个选项默认禁用。
在“智能卡或其他证书属性”选项卡上,您可以查看和配置以下内容:
“连接时” 如要“当前用户或本地计算机”证书中的某个证书进行身份验证,请选择“使用此计算机上的证书”(默认已选定)。当安装有多个用户证书时,将提示用户选择某个特定的证书执行第一次关联(association)。证书的使用将被缓冲以便进行重新关联,直至该Windows XP用户会话结束。Windows XP不支持使用智能卡来进行安全无线身份验证。
“验证服务器证书” 这个复选框指定您是否想要验证进行身份验证的服务器(通常是一台RADIUS服务器)的计算机证书。这个选项默认启用。
“仅当服务器具有下列名称时才进行连接”这个复选框指定您是否想要提供必须与身份验证服务器的计算机证书中的名称的最后一部分匹配的文字。这个选项默认禁用。对于大多数使用了多台RADIUS服务器的部署,你可以键入所有RADIUS服务器所共有的域名系统(DNS)名称字段。例如,如果您有两个名为rad1examplemicrosoftcom和rad2examplemicrosoftcom的RADIUS服务器,则键入文本“examplemicrosoftcom”。如果启用这个选项并键入错误的文本,无线身份验证就会失败。
“可信任的根证书授权” 这个选项使您能够选择身份验证服务器的计算机证书的特定根认证中心(CA)。这个列表对应于您的“可信任的根证书授权”证书存储库中的根CA证书列表。
默认未选定任何特定的可信任根CA。如果您选择某个不正确的可信任根CA,在身份验证过程中将提示您接受(或拒绝)身份验证服务器证书的根CA。当您接受身份验证服务器的证书时,该可信任的根CA就自动设置为身份验证服务器证书的根CA。
“使用不同的用户名进行连接”这个复选框指定您是否想要使用一个不同于证书中的用户名称进行身份验证。这个选项默认禁用。如果启用它,即使您仅安装了一个用户证书,也会有一个对话框提示您选择一个用户证书。选定的证书将一直使用,直至该Windows XP用户会话结束
wpa_supplicant 配置文件的例子
通过从客户端认证中退出,windows下的认证储存可以被使用,并且私人密匙可以通过以下格式配置:
cert://substring_to_match
hash://certificate_thumbprint_in_hex
举个例子:private_key=” hash://63093aa9c47f56ae88334c7b65a4 ”
注意当将wpa_supplicant作为应用运行时,用户认证储存区(自己的用户账户)将被使用。而当运行wpasvc作为服务端时计算机储存区(计算机账户)将被使用。
另外,一个blob的配置可以将此设置为blob://blob_name
下面对语句块举例子:
网络语句块
-网络语句块字段:
ieee80211w:是否激活包含管理机制
auth_alg:允许的IEEE 80211 认证算法列表
pairwise : WPA点对点(单播)支持的密码表格
group:组(广播/组播)支持的密码列表
psk: WPA预共享密码;256位预共享密码
eapol_flags: IEEE 8021X/EAPOL 选项(bit field位字段)
macsec_policy:EEE 8021X/MACsec options选项
mixed_cell : 这个选项可以被用于配置是否为所谓的混杂单元,即一个同样的SSID 网络使用明码和加密密匙
proactive_key_caching:
wep_key03:静态WEP密码(双精度ASCII引用,比如“abcd”;或者没有引用的十六进制数,比如“012345678”)
peerkey:是否允许直接连接的peerkey协议(IEEE 80211e DLS),这个只用于 RSN/WPA2
wpa_ptk_rekey:PTK最大的存活时间(秒),这个选项可以被用于配置执行PTK密匙更新来缓解因为TKIP缺陷而受到的攻击
以下字段值用于内部EAP实施。
identity:EAP的字符标识符
anonymous_identity : EAP的匿名标识符字符串(被用于支持不同的标识符隧道的非加密EAP类型的标识符,比如,EAP-TTLS)。这个字段也可以被用于EAP-SIM/AKA/AKA’保存匿名标识符
password: EAP的密码字符串。这个字段既可以包含纯文本密码字符串(使用ASCII或者十六进制字符串)也可以一个使用hash:<32 hex digits>格式的NtPasswordHash(16字节MD4 哈希密码)
client_cert : 客户端认证文件的路径(PEM/DER)
domain_suffix_match:域名服务器名称的规则
phase1 : 阶段一(外部认证:即TLS隧道)参数(成对的字段字符,比如:”peapver=0” 或者”peapver=1 peaplabel=1”)
phase2 : 阶段二(TLS隧道的内部认证)参数(string with field-value pairs, eg, “auth=MSCHAPV2” for EAP-PEAP or”autheap=MSCHAPV2 autheap=MD5” for EAP-TTLS)
TLS-based 方法可以用以下参数来控制TLS行为(这个通常是下第一阶段的参数,但是也可以当EAP-TLS在内部隧道使用时 被用在第二阶段)
以下认证/私人密匙字段将在使用EAP-TTLS 或者 EAP-PEAP 时内部第二阶段认证使用
EAP-FAST 变量
wpa_supplicant允许的最大的一些围绕解决认证服务器的错误交互 *** 作的问题工作的“EAP workaround”数量,因为目前认证服务器存在大量的某些问题,所以这些选项默认激活的。严格的一致性EAP模式可以通过使用选项eap_workaround=0 取消工作区来配置
活动站点的限制
disable_ht : 是否取消HT (80211n)
接口所属的FST标志组
FST组的接口优先级
以下为网络语句块的例程:
简单的案例: WPA-PSK, PSK ASCII密文,允许所有有效密码
和以上类似,增加了请求SSID的特定扫描(用于拒绝广播SSID 的APs)
只在WPA-PSK时使用,接受任何可用的密码组合
使用TKIP加密算法的WPA-Personal(PSK),并且强制频繁地重置PTK密码
当使用WPA-EAP时。允许CCMP和TKIP加密算法。使用WEP104或者WEP40作为组密码将不会被接受
使用新的peaplabel标签来进行RADIUS 服务器的EAP-PEAP/MSCHAPv2 配置(例如,辐射器)
使用非加密的匿名标志的EAP-TTLS/EAP-MD5-Challenge配置,真实的标识符只在加密的TLS隧道上发送
使用非加密的匿名标志的EAP-TTLS/MSCHAPv2配置,真实的标识符只在加密的TLS隧道上发送
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)