La rubrique suivante fournit des réponses aux questions fréquemment posées sur les API EAPHost.
Qu’est-ce qu’un supplicant ?
Le demandeur est l’entité à authentifier à l’aide d’EAPHost. Les demandeurs standard sont les clients 802.1X , les clients 802.3 et le service de routage et d’accès à distance (RRAS), les clients PPP (Point à Point).
Qu’est-ce qu’un homologue ?
L’homologue est le côté client d’une authentification EAP.
En quoi un pair diffère-t-il d’un demandeur ?
Le demandeur transporte les paquets, contrairement à un homologue. Néanmoins, les termes pair, supplicant et client sont largement synonymes.
Qu’est-ce qu’un authentificateur ?
L’authentificateur est le point d’accès sans fil, le serveur d’accès réseau (NAS) ou le périphérique d’accès réseau (NAD) qui authentifie le demandeur. L’authentificateur est également appelé serveur EAP.
Quelle est la durée de vie d’une authentification ?
La durée de vie d’une session d’authentification unique côté client correspond à tout ce qui se produit entre les fonctions EapHostPeerBeginSession et EapHostPeerEndSession en cours d’appel. La durée de vie côté authentificateur correspond à tout ce qui se produit entre les fonctions EapPeerBeginSession et EapPeerEndSession .
Qu’est-ce qu’un objet BLOB ? Pourquoi convertir un objet BLOB de configuration (binaire) en XML ?
Un objet BLOB est un objet binaire volumineux. XML présente plusieurs avantages par rapport à un objet BLOB de configuration binaire. Les données de configuration stockées dans XML sont lisibles par l’utilisateur, modifiables par l’utilisateur et multiplateformes.
Quand reconverti-je un objet BLOB XML stocké en objet BLOB binaire ?
Il est possible de stocker un objet BLOB binaire ou UN OBJET BLOB XML, mais vous devez toujours le convertir en objet BLOB binaire avant de l’utiliser avec les API d’exécution . Les API d’exécution ne peuvent pas accepter un répertoire XML.
Que sont les méthodes natives ?
Les méthodes EAP natives utilisent la nouvelle API EAPHost.
Que sont les méthodes héritées ?
Les méthodes EAP héritées sont définies dans la référence du protocole d’authentification extensible. Les méthodes EAP héritées peuvent être utilisées dans Windows Vista et Windows Server 2008. Ces méthodes peuvent ne pas être utilisées dans les versions ultérieures du système d’exploitation.
Quelle est la différence entre les méthodes héritées et natives ?
Les API natives sont plus simples et ont moins de fonctionnalités. Toutes les nouvelles méthodes EAP doivent être écrites à l’aide de l’API EAPHost.
Qu’est-ce que la « stratégie de groupe » ?
Pour obtenir une description de la stratégie de groupe, consultez stratégie de groupe Collection.
Les fonctions EAPHost peuvent-elles remplacer la stratégie de configuration spécifiée par la stratégie de groupe ?
Non, jamais. Si la stratégie de groupe est en cours d’utilisation, les paramètres de stratégie de groupe remplacent toujours les paramètres de configuration EAPHost.
Qu’est-ce que l’authentification unique (SSO) ?
802.1X est un mécanisme d’authentification de couche 2. Selon la configuration de l’authentification unique, l’authentification unique permet aux utilisateurs de s’authentifier auprès du réseau à l’aide de l’authentification 802.1X avant ou immédiatement après la connexion à Windows. L’authentification unique peut être configurée pour utiliser les informations d’identification Windows pour l’authentification réseau (auquel cas les utilisateurs n’entrent leurs informations d’identification qu’une seule fois) ou utiliser des informations d’identification différentes pour l’authentification windows et réseau. Pour plus d’informations, consultez SSO et PLAP.
Qu’est-ce que le fournisseur d’accès pré-ouverture de session (PLAP)
Pour plus d’informations, consultez SSO et PLAP.
Qu’est-ce que le protocole PEAP (Protected Extensible Authentication Protocol) ?
Pour plus d’informations, consultez PEAP et À propos du protocole d’authentification extensible.
Comment PEAP gère-t-il la reprise de session et la ré-authentification ?
La reprise de session et la ré-authentification se produisent généralement lors de l’itinérance sur un réseau sans fil. L’API de protection des données Windows (DPAPI) permet de protéger et de lier des données à un utilisateur et éventuellement à la session d’ouverture de session. L’appelant donne à CryptProtectMemory une mémoire tampon non chiffrée et DPAPI chiffrera la mémoire sur place. Plus tard, l’appelant peut passer la mémoire tampon chiffrée à CryptUnprotectMemory et DPAPI déchiffrera la mémoire, une fois de plus en place. Pour plus d’informations, consultez Extension d’application interne TLS (TSL/IA) et PEAP.
Qu’est-ce que la sécurité de niveau EAP-Transport (EAP-TLS) ?
EAP-TLS est un protocole client-serveur dans lequel des profils de certificat distincts sont généralement utilisés pour le client et le serveur. Pour plus d’informations, consultez IETF RTC 2716.
Comment faire implémenter une modification de mot de passe à l’aide de l’API LSA (Local Security Authority) ?
Utilisez la fonction LsaCallAuthenticationPackage pour implémenter une modification de mot de passe.
Pourquoi voudrais-je activer le suivi dans EAPHost ?
Les journaux de trace contiennent des informations de débogage (disponibles en anglais uniquement) qui peuvent aider les développeurs et les partenaires Microsoft à trouver les causes racines des problèmes rencontrés avec le processus d’authentification. Pour plus d’informations, consultez Activation du suivi.
Pourquoi est-ce que je rencontre le code d’erreur, NTE_BAD_KEY_STATE (0x8009000BL) quand j’utilise l’API Cryptography pour me connecter à l’échange EAP-TLS ?
Dans Winerror.h, NTE_BAD_KEY_STATE (0x8009000BL) est défini comme une « clé non valide pour une utilisation dans un état spécifié ». Cette erreur est généralement retournée dans les scénarios suivants.
- Lors de la tentative d’exportation d’un objet BLOB de clé privée non exportable
- En cas d’échec de tentative de génération d’un handle de hachage de fonction pseudo-aléatoire (PRF) à l’aide de [CryptCreateHash](/windows/desktop/api/wincrypt/nf-wincrypt-cryptcreatehash)
Qu’est-ce qu’une fonction pseudo-aléatoire (PRF) ?
Une fonction qui prend une clé, une étiquette et une valeur initiale en tant qu’entrée, produit ensuite une sortie d’une longueur arbitraire. Pour plus d’informations, consultez Terminer les messages dans le protocole TLS 1.0.
Comment EAPHost est-il lié aux cartes réseau ?
EAPHost permet à plusieurs demandeurs de fonctionner simultanément, et chaque demandeur peut se lier à plusieurs cartes réseau. Les supplicants EAPHost fournissent une liaison aux couches réseau et pilotent le processus d’authentification. Les supplicants contiennent une configuration d’authentification. Les demandeurs enregistrent également l’état et fournissent une sécurité de connexion ultérieure. Étant donné qu’EAPHost ne se lie directement à aucun mécanisme réseau, l’extensibilité des requêtes est possible.