The Cable GuyEAPHost in Windows
Joseph Davies
Le informazioni in versione provvisoria su Windows Server "Longhorn" sono soggette a modifiche.
Quando un client di accesso si connette a una rete protetta, deve utilizzare un metodo di autenticazione negoziata per verificare la propria identità con un server di autenticazione. Ad esempio, il client di accesso e il server di autenticazione possono utilizzare lo stesso protocollo di autenticazione della password specifico, come Microsoft Challenge Handshake Authentication
Protocol versione 2 (MS-CHAP v2). Tuttavia, quando un client di accesso e il server di autenticazione utilizzano metodi di autenticazione incorporati e codificati, è difficile aggiungere nuovi protocolli.
Extensible Authentication Protocol (EAP) è un framework architetturale che fornisce l'estendibilità per i metodi di autenticazione delle tecnologie di accesso protetto alle reti comunemente utilizzate, come le reti wireless basate sul protocollo IEEE 802.1X e le connessioni remote Point-to-point Protocol (PPP) o VPN. EAP non è un metodo di autenticazione come MS-CHAP v2, ma piuttosto un framework sul client di accesso e sul server di autenticazione che consente ai fornitori di reti di sviluppare e installare facilmente i nuovi metodi di autenticazione conosciuti come metodi EAP. Per ulteriori informazioni di base su EAP, vedere la pagina Web di EAP di Microsoft al sito microsoft. com/eap.
Sebbene EAP sia stato supportato in Microsoft® Windows® fin da Windows 2000, l'architettura EAP in Windows XP e in Windows Server® 2003 ha limitazioni di estendibilità per i metodi EAP e per i supplicant, che sono componenti software che possono utilizzare EAP su un tipo specifico di livello di collegamento. L'architettura EAPHost in Windows Vista™ e nella prossima versione di Windows Server "Longhorn", indirizza queste limitazioni, rendendo molto più facile, per i fornitori di reti di terze parti, estendere Windows per i nuovi supplicant e per i metodi EAP.
Supporto EAP in Windows Server 2003 e Windows XP
Windows Server 2003 e Windows XP utilizzano EAP per le connessioni wireless o cablate che eseguono l’autenticazione con il protocollo 802.1X e per le connessioni basate sul PPP come l’accesso remoto o basato su VPN oppure le connessioni da sito a sito. In particolare, questi sistemi operativi contengono un'implementazione EAP che aderisce alla RFC 2284 e contiene IEEE 802.1X e il supplicant di PPP. Nella Figura 1 viene illustrata l'architettura EAP e del supplicant per Windows XP e per Windows Server 2003. È necessario notare, tuttavia, che nell'implementazione di EAP in Windows XP Service Pack 2 (SP2) e in Windows Server 2003 SP1 non sono supportati RFC 3748 (lo standard Internet corrente per EAP) e le altre RFC EAP.
Figura 1** Architettura EAP e del supplicant per Windows XP e Windows Server 2003 **
Una API EAP fornisce i mezzi per estendere l'autenticazione in Windows XP e in Windows Server 2003. Anche se i fornitori di terze parti possono sviluppare e installare i nuovi metodi EAP, i supplicant di 802.1X e i PPP incorporati non possono utilizzare tutti i metodi EAP installati. Ad esempio, un fornitore potrebbe creare un nuovo ID che analizza il metodo EAP di autenticazione, ma quel metodo non potrebbe essere disponibile per le connessioni wireless.
A causa delle limitazioni dei supplicant incorporati, alcuni software di terze parti e i fornitori di hardware sviluppano un supplicant proprio, che in genere sostituisce e disattiva i supplicant incorporati e l'intera architettura EAP. Questa alternativa presenta tuttavia qualche problema. In primo luogo, sostituendo i supplicant incorporati e l'architettura del protocollo EAP si incorre in costi relativi allo sviluppo e in ritardi. Inoltre, se un’azienda cliente non sviluppa supplicant propri, per acquistare una licenza e installare un prodotto di terze parti rischia di incorrere in costi per ogni singola postazione.
Funzionalità di EAPHost
EAPHost fornisce le seguenti nuove funzionalità:
Supporto per i metodi aggiuntivi EAP. EAPHost supporterà l'installazione e l'uso di tutti i metodi EAP elencati sul Registro di sistema EAP al sito www.iana.org/assignments/eap-numbers e gli altri metodi di autenticazione popolari come Lightweight EAP (LEAP), sviluppato e fornito da Cisco Systems, Inc.
Individuazione rete. EAPHost supporta l’individuazione rete come definito nella specifica RFC 4284.
Conformità RFC 3748. EAPHost è conforme alla macchina a stati EAP e indirizza numerose vulnerabilità della protezione specificate in RFC 3748. Precedentemente, i supplicant dovevano implementare le proprie macchine a stati. Inoltre, EAPHost supporta funzionalità come i tipi Expanded EAP (compresi i metodi EAP specifici del fornitore).
Coesistenza del metodo EAP. EAPHost consente la coesistenza simultanea di implementazioni multiple dello stesso metodo EAP. Ad esempio, è possibile installare e scegliere la versione Microsoft di Protected EAP (PEAP) e la versione di PEAP di Cisco Systems, Inc.
Architettura modulare di supplicant. EAPHost supporta un'architettura modulare di supplicant in cui i nuovi supplicant possono essere aggiunti facilmente senza dover sostituire l’intera implementazione EAP come avveniva nella versione precedente.
Per i fornitori del metodo EAP, EAPHost supporta i metodi EAP già sviluppati per Windows XP e Windows Server 2003 e un metodo più facile di sviluppare i nuovi metodi EAP per Windows Vista e Windows Server "Longhorn". EAPHost consente anche una classificazione migliore dei tipi EAP in modo che il supplicant incorporato IEEE 802.1X li possa utilizzare.
Per i fornitori di supplicant, EAPHost fornisce il supporto per supplicant aggiuntivi per i nuovi livelli di collegamento. Poiché EAPHost è integrato con Protezione accesso alla rete, i nuovi supplicant non devono necessariamente riconoscere Protezione accesso alla rete. Per partecipare a Protezione accesso alla rete, è necessario che i nuovi supplicant registrino un identificatore di connessione e una funzione di richiamata che li informa di ripetere l'autenticazione. Per ulteriori informazioni su Protezione accesso alla rete, vedere l'articolo Controllo della protezione di John Morello in questo numero di TechNet Magazine, come pure la pagina Web Protezione accesso alla rete all'indirizzo microsoft.com/nap. Per le informazioni su come sviluppare i metodi EAP o i supplicant per EAPHost, vedere Extensible Authentication Protocol Host al sito msdn2.microsoft.com/aa364249.aspx.
Architettura dell'infrastruttura EAP e EAPHost
L'architettura EAPHost è costituita dall'architettura dell'infrastruttura EAP per EAPHost, dall'architettura EAPHost sul peer EAP (autenticazione del client) e dall'architettura EAPHost sul server di autenticazione. Nella Figura 2 vengono illustrati i componenti dell'architettura dell'infrastruttura EAP per EAPHost nei computer in cui è in esecuzione Windows Vista o Windows Server "Longhorn". Su questi sistemi operativi, il peer EAP dispone di un livello dei supplicant (come il supplicant incorporato per 802.1X), della nuova architettura EAPHost per i peer EAP (che facilitano la comunicazione e la gestione dei supplicant e dei metodi EAP) e di un livello dei metodi EAP per eseguire l'autenticazione.
Figura 2** Architettura dell'infrastruttura EAP per EAPHost **(Fare clic sull'immagine per ingrandirla)
Il server di autenticazione per Windows Server "Longhorn" dispone di Server dei criteri di rete, della nuova architettura EAPHost per i server di autenticazione e di un livello dei metodi EAP. Presente come Internet Authentication Service (IAS) in Windows Server 2003, Server dei criteri di rete è un server Remote Authentication Dial-In User Service (RADIUS) e un proxy e un server dei criteri Protezione accesso alla rete.
Il supplicant sul peer EAP utilizza una tecnologia di livello di collegamento come PPP o 802.1X per inviare e ricevere i messaggi EAP sul collegamento tra il peer EAP e l’autenticatore pass-through (un server di accesso alla rete come punto di accesso senza fili o un server di accesso remoto). L'autenticatore pass-through e Server dei criteri di rete sul server di autenticazione utilizzano RADIUS per inviare e ricevere i messaggi EAP sulla rete basata su IP tra l'autenticatore pass-through e Server dei criteri di rete.
Dopo che il peer EAP e il server di autenticazione hanno negoziato l'utilizzo di un metodo EAP specifico, la comunicazione logica consiste di messaggi EAP inviati tra il metodo EAP negoziato sul peer EAP e il server di autenticazione.
Nella Figura 3 viene illustrata l'architettura EAPHost sul peer EAP in cui è in esecuzione Windows Vista o Windows Server "Longhorn". Questa architettura consiste di supplicant, di componenti EAPHost, di componenti di gestione del metodo EAP e di componenti Protezione accesso alla rete.
Figura 3** Architettura EAPHost sul peer EAP **(Fare clic sull'immagine per ingrandirla)
Windows Vista e Windows Server "Longhorn" contengono un supplicant 802.1X per le connessioni wireless basate sullo standard 802.1X e per le connessioni cablate. Si sta esaminando un supplicant di PPP per l'accesso remoto o basato su VPN o per le connessioni da sito a sito in vista di un aggiornamento futuro a questi due sistemi operativi. È possibile aggiungere ulteriori supplicant sviluppati da terze parti. EAPHost API consente ai supplicant di utilizzare EAP per le connessioni. Per maggiori informazioni, vedere l'articolo in msdn2.microsoft.com/aa364249.aspx.
I componenti EAPHost incorporano la macchina a stati del client EAP/convalida protocollo, che mantiene la macchina a stati del peer EAP (vedere RFC 3748) e convalida i messaggi EAP. Incorpora anche la gestione metodo EAP, che gestisce i vari metodi EAP compatibili o meno con EAPHost compatibili. Permette, inoltre, di rendere i metodi EAP disponibili per le applicazioni e per i servizi. Infine incorpora la gestione librerie EAP, che facilita il caricamento e lo scaricamento di librerie del metodo EAP.
I componenti del metodo EAP includono:
I metodi EAP incorporati. Comprendono PEAP, EAP-Transport Layer Security (TLS) ed EAP-MS-CHAP-V2.
Due API di host. Questi ospitano i metodi EAP non EAPHost compatibili (EAP API Legacy) e i metodi EAPHost compatibili di terze parti (Metodo API EAPHost).
Il metodo traduttore legacy. Questo metodo effettua la conversione tra i metodi EAP non compatibili con EAPHost, scritti su API EAP legacy e su API metodo EAPHost.
Gestione proxy del metodo EAP . Questo ospita i metodi EAP di terze parti, anche se non sono compatibili con EAPHost.
API del metodo EAP è la nuova API per i metodi EAP compatibili con EAPHost. I metodi EAP esportano le API definite in API del metodo EAP. EAPHost carica i metodi EAP e le chiamate nelle funzioni API esportate.
I componenti Protezione accesso alla rete contengono gli elementi seguenti:
Messenger Client di imposizione Protezione accesso alla rete EAP . Questo componente facilita la comunicazione dei dati relativi a Protezione accesso alla rete, come le istruzioni di integrità ed eventi, tra Client di imposizione Protezione accesso alla rete di EAPHost e gli altri componenti di EAPHost.
Client di imposizione Protezione accesso alla rete EAPHost . Interagisce con gli altri componenti Protezione accesso alla rete per fornire la convalida di integrità e l’imposizione di accesso limitato quando una connessione autenticata con lo standard 802.1X non è conforme ai requisiti di integrità del sistema Protezione accesso alla rete.
Agente Protezione accesso alla rete. Mantiene lo stato di integrità attuale del client e facilita la comunicazione tra i Client di imposizione Protezione accesso alla rete installati e il livello degli Agenti integrità sistema. Ogni Agente integrità sistema è definito per uno o più requisiti di integrità del sistema.
Come viene illustrato nella Figura 3, i fornitori di terze parti possono sviluppare nuovi supplicant e nuovi metodi EAP compatibili con EAPHost. È possibile utilizzare anche i metodi EAP esistenti sviluppati per Windows Server 2003 o per Windows XP.
Nella Figura 4 viene illustrata l'architettura EAPHost sul server di autenticazione in cui sono in esecuzione Windows Server "Longhorn" e Server dei criteri di rete. Questa architettura è simile a quella utilizzata per il peer EAP per supportare i metodi EAP. Invece dei supplicant, il server di autenticazione dispone di Server dei criteri di rete, che impiega API EAPHost per utilizzare e configurare i metodi EAP. Entro i componenti EAP, macchina a stati del client EAP/convalida protocollo esegue il lavoro di manutenzione della macchina a stati del server di autenticazione EAP e di convalida dei messaggi EAP in entrata.
Figura 4** Architettura EAPHost sul server di autenticazione **(Fare clic sull'immagine per ingrandirla)
EAPHost sul server di autenticazione consente ai fornitori del software di terze parti di sviluppare e installare i metodi nuovi EAP compatibili con EAPHost e supporta i metodi EAP già sviluppati per Windows XP e Windows Server 2003.
Sia per il peer EAP che per il server di autenticazione, EAPHost fornisce anche una API proxy interfaccia utente EAPHost (non illustrata nelle Figure 3 e 4), utilizzata dai metodi compatibili con EAPHost per visualizzare le finestre di dialogo che richiedono l'interazione utente. La API proxy interfaccia utente EAPHost consente ai fornitori di terze parti di aggiungere le loro finestre di dialogo per una procedura utente più intuitiva.
Conclusioni
EAPHost in Windows Server "Longhorn" e in Windows Vista aggiorna l'implementazione EAP in Windows per gli standard di Internet più recenti e fornisce una nuova architettura modulare per estendere Windows con i metodi di autenticazione EAP e con i supplicant. I fornitori di reti possono estendere il livello di interazione dell'utente esistente in Windows senza sostituire l'intera implementazione EAP di Windows sviluppando i nuovi supplicant scritti nella API EAPHost e i nuovi metodi di autenticazione scritti nella API metodo EAPHost. EAPHost supporta anche i metodi EAP esistenti sviluppati per il Windows Server 2003 e Windows XP.
EAPHost per Windows XP
Microsoft è pianificato per rilasciare un aggiornamento per Windows XP SP2 contenente l'architettura EAPHost, il supporto per RFC 3748 e un supplicant basato su EAPHost per la connettività cablata di 802.1X. Con l'aggiornamento, i supplicant EAPHost sviluppati per Windows Vista potranno essere utilizzati in Windows XP SP2. Per le informazioni più recenti su questo aggiornamento, vedere il blog del team responsabile del prodotto Protezione accesso alla rete al sito blogs.technet.com/nap.
Joseph Daviesè autore tecnico presso Microsoft. Dal 1992 tiene corsi e scrive su argomenti legati alle reti Microsoft. Ha scritto cinque libri per Microsoft Press ed è autore della rubrica mensile TechNet Cable Guy.
© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.