Extensible Authentication Protocol

(Przekierowano z EAP (informatyka))

Protokół Extensible Authentication Protocol (EAP) opisany jest w dokumencie RFC 3748 ↓. Protokół ten umożliwia stosowanie oraz implementację różnorodnych metod uwierzytelniania w ujednolicony i niezależny od sprzętu pośredniczącego w komunikacji sposób. Architektura tego protokołu oparta jest o model klient/serwer. W terminologii EAP serwer pełni rolę serwera uwierzytelniającego, natomiast klient rolę suplikanta.

Protokół ten ma bardzo małe wymagania odnośnie do używanego medium transportowego. Jako warunek poprawnego funkcjonowania protokołu wymagane jest, aby warstwa transportowa gwarantowała uporządkowanie pakietów (niezawodność nie jest wymagana). Z tego względu protokół znalazł zastosowanie jako wygodny i elastyczny mechanizm uwierzytelniania użytkowników w takich protokołach, jak np. PPP, IEEE802. Proces uwierzytelniania przeprowadzany jest zanim nastąpi inicjalizacja warstwy IP.

W najczęściej spotykanych rozwiązaniach urządzenie dostępowe (serwer uwierzytelniający) pracuje w roli pośrednika, pomiędzy użytkownikiem (suplikantem) a zewnętrznym serwerem uwierzytelniającym, przekazując jedynie pakiety EAP do i z zewnętrznego serwera.

Zastosowanie edytuj

Protokół EAP jest najczęściej używany w połączeniach:

  • korzystających z protokołu PPP,
  • korzystających z protokołu IEEE802 (wymagane są urządzenia sieciowe wspierające obsługę tego protokołu):

Protokół EAP posiada wbudowane mechanizmy pozwalające na eliminację pojawiających się duplikatów pakietów i ponowną retransmisję zagubionych pakietów. Za retransmisję pakietów odpowiedzialny jest serwer uwierzytelniający, natomiast suplikant musi zajmować się eliminacją duplikatów pakietów.

Bezpośrednio w protokole brakuje obsługi mechanizmu fragmentacji. Jeśli jakaś metoda uwierzytelniania potrzebuje przesyłać porcje danych, które są większe niż maksymalny rozmiar ramki łącza danych, to fragmentacja musi być zrealizowana w ramach tej metody.

Zalety edytuj

Wśród zalet protokołu EAP należy wymienić:

  • obsługa różnorodnych metod uwierzytelniania,
  • istnieje możliwość negocjacji używanej metody uwierzytelniania,
  • ponieważ urządzenie dostępowe może pracować w roli pośrednika, możliwe jest wdrożenie nowej (lub aktualizacja) metody uwierzytelniania, bez ingerowania w jego konfigurację – wymagana jest jedynie aktualizacja oprogramowania po stronie suplikanta i zewnętrznego serwera uwierzytelniania,
  • separacja pomiędzy urządzeniem dostępowym a zewnętrznym serwerem uwierzytelniania ułatwia zarządzanie danymi poufnymi, takimi jak np. loginy i hasła użytkowników.

Wady edytuj

Najistotniejsze wady protokołu EAP to:

  • nie wszystkie implementacje PPP wspierają uwierzytelnianie z wykorzystaniem protokołu EAP,
  • sprzęt sieciowy (przełączniki, punkty dostępu) musi posiadać obsługę protokołu IEEE802,
  • ze względu na separacje urządzenia dostępowego od zewnętrznego serwera uwierzytelniania komplikuje się analiza zagadnień bezpieczeństwa.

Metody EAP edytuj

Dokument RFC 3748 ↓ wprowadza następujące obowiązkowe metody uwierzytelniania:

  • MD5 Challenge,
  • One Time Password (OTP),
  • Generic Token Card (GTC).

Oprócz wyżej wymienionych metod istnieje wiele innych które są opisane w odrębnych dokumentach, np.:

Linki zewnętrzne edytuj