En el tema siguiente se proporcionan respuestas a las preguntas más frecuentes sobre las API de EAPHost.
¿Qué es un supplicante?
El supplicante es la entidad que se va a autenticar mediante EAPHost. Los suplicantes típicos son clientes 802.1X , 802.3 y enrutamiento y servicio de acceso remoto (RRAS), clientes de punto a punto (PPP).
¿Qué es un par?
El mismo nivel es el lado cliente de una autenticación de EAP.
¿Cómo difiere un elemento del mismo nivel de un suplicante?
El supplicante transporta paquetes, mientras que un elemento del mismo nivel no lo hace. Sin embargo, los términos peer, supplicant y client son en gran medida sinónimos.
¿Qué es un autenticador?
El autenticador es el punto de acceso inalámbrico, el servidor de acceso a la red (NAS) o el dispositivo de acceso a la red (NAD) que autentica el supplicante. El autenticador también se conoce como servidor EAP.
¿Cuál es la duración de una autenticación?
La duración de una sesión de autenticación única en el lado cliente es todo lo que se produce entre las funciones EapHostPeerBeginSession y EapHostPeerEndSession a las que se llama. La duración en el lado del autenticador es todo lo que ocurre entre las funciones EapPeerBeginSession y EapPeerEndSession .
¿Qué es un BLOB? ¿Por qué puedo convertir un BLOB de configuración (binario) a XML?
Un BLOB es un objeto binario grande. XML tiene varias ventajas sobre un BLOB de configuración binaria. Los datos de configuración almacenados en XML son legibles, editables por el usuario y multiplataforma.
¿Cuándo se convierte un BLOB XML almacenado en un BLOB binario?
Es posible almacenar un BLOB binario o UN BLOB XML, pero siempre debe volver a convertir el BLOB XML en un BLOB binario antes de usarlo con las API en tiempo de ejecución; las API en tiempo de ejecución no pueden aceptar un directorio XML.
¿Qué son los métodos nativos?
Los métodos nativos de EAP usan la nueva API EAPHost.
¿Qué son los métodos heredados?
Los métodos EAP heredados se definen en la Referencia del protocolo de autenticación extensible. Los métodos EAP heredados están disponibles para su uso en Windows Vista y Windows Server 2008. Es posible que estos métodos no estén disponibles para su uso en versiones posteriores del sistema operativo.
¿Cuál es la diferencia entre los métodos heredados y nativos?
Las API nativas son más sencillas y tienen menos características. Todos los nuevos métodos de EAP se deben escribir mediante la API EAPHost.
¿Qué es "directiva de grupo"?
Para obtener una descripción de la directiva de grupo, consulte directiva de grupo Colección.
¿Las funciones EAPHost pueden invalidar la directiva de configuración especificada por la directiva de grupo?
No, nunca. Si la directiva de grupo está en uso, la configuración de directiva de grupo siempre invalidará las opciones de configuración de EAPHost.
¿Qué es el inicio de sesión único (SSO)?
802.1X es un mecanismo de autenticación de capa 2. En función de la configuración de SSO, el inicio de sesión único permite a los usuarios autenticarse en la red mediante la autenticación 802.1X antes o inmediatamente después de iniciar sesión en Windows. El inicio de sesión único se puede configurar para usar credenciales de Windows para la autenticación de red (en cuyo caso los usuarios escriben sus credenciales solo una vez) o usan credenciales diferentes para la autenticación de red y Windows. Para obtener más información, consulte SSO y PLAP.
Qué es el proveedor de acceso previo al inicio de sesión (PLAP)
Para obtener más información, consulte SSO y PLAP.
¿Qué es el Protocolo de autenticación extensible protegida (PEAP)?
Para obtener más información, consulte PEAP y Acerca del protocolo de autenticación extensible.
¿Cómo se ocupa PEAP de la reanudación y la re-autenticación de la sesión?
La reanudación de la sesión y la nueva autenticación se producen normalmente durante la itinerancia en una red inalámbrica. La API de protección de datos de Windows (DPAPI) proporciona una manera de proteger y enlazar datos a un usuario y, opcionalmente, la sesión de inicio de sesión. El autor de la llamada proporciona a CryptProtectMemory un búfer sin cifrar y DPAPI cifrará la memoria en su lugar. Más adelante, el autor de la llamada puede pasar el búfer cifrado a CryptUnprotectMemory y DPAPI descifrará la memoria, una vez más en su lugar. Para más información, consulte Extensión de aplicación interna de TLS (TSL/IA) y PEAP.
¿Qué es la seguridad de nivel de EAP-Transport (EAP-TLS)?
EAP-TLS es un protocolo cliente-servidor en el que se suelen usar perfiles de certificado distintos para el cliente y el servidor. Para obtener más información, vea IETF RTC 2716.
Cómo implementar un cambio de contraseña mediante la API de la autoridad de seguridad local (LSA)?
Use la función LsaCallAuthenticationPackage para implementar un cambio de contraseña.
¿Por qué quiero habilitar el seguimiento en EAPHost?
Los registros de seguimiento contienen información de depuración (disponible solo en inglés) que pueden ayudar a los desarrolladores y asociados de Microsoft a encontrar las causas principales de cualquier problema que se experimente con el proceso de autenticación. Para obtener más información, consulte Habilitación del seguimiento.
¿Por qué encuentro el código de error, NTE_BAD_KEY_STATE (0x8009000BL) cuando uso cryptography API para iniciar sesión en el intercambio EAP-TLS?
En Winerror.h NTE_BAD_KEY_STATE (0x8009000BL) se define como una "clave no válida para su uso en el estado especificado". Este error se devuelve normalmente en los escenarios siguientes.
- Al intentar exportar un BLOB de clave privada no exportable
- Al intentar generar un identificador hash de función pseudoaleatoria (PRF) sin éxito mediante [CryptCreateHash](/windows/desktop/api/wincrypt/nf-wincrypt-cryptcreatehash)
¿Qué es una función pseudoaleatoria (PRF)?
Una función que toma una clave, una etiqueta y una inicialización como entrada y, a continuación, genera una salida de longitud arbitraria. Para obtener más información, consulte Finalizar mensajes en el protocolo TLS 1.0.
¿Cómo se enlaza EAPHost a adaptadores de red?
EAPHost permite que varios supplicantes funcionen simultáneamente y cada supplicante puede enlazarse a varios adaptadores de red. Los supplicantes de EAPHost proporcionan enlace a las capas de red y impulsan el proceso de autenticación. Los supplicantes contienen la configuración de autenticación. Los supplicantes también guardan el estado y proporcionan la seguridad de conexión posterior. Dado que EAPHost no se enlaza directamente a ningún mecanismo de red, es posible la extensibilidad supplicante.