可扩展的身份验证协议 (用于网络访问的 EAP)

适用于: Windows server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows 10、Windows 8。1

(EAP) 的可扩展身份验证协议是一种体系结构框架,可为常用的受保护网络访问技术(例如基于 IEEE 802.1 X 的无线访问、基于 IEEE 802.1 X 的有线访问)和点对点协议 (PPP) 连接(如虚拟专用网 (VPN) )提供身份验证方法的可扩展性。 EAP 不是类似于 MS-CHAP v2 的身份验证方法,而是访问客户端和身份验证服务器上的框架,该框架允许网络供应商开发并轻松安装新的身份验证方法(称为 EAP 方法)。

身份验证方法

本主题包含 EAP 中下列身份验证方法特定的配置信息: 请注意,隧道 EAP 方法内所用的 EAP 身份验证方法通常称为 内部方法eap 类型

  • 受保护的 EAP (PEAP)

    本部分包含随 PEAP 提供的两种默认的内部 EAP 方法的配置信息。

    • EAP-传输层安全性 (TLS)

      作为 智能卡或操作系统中的其他证书属性 出现,可以将 eap-tls 部署为 PEAP 的内部方法或独立的 eap 方法。 当它被配置为内部身份验证方法时,EAP-TLS 的配置设置与将 EAP-TLS 部署为外部方法时所用的设置完全相同,只是前者被配置为在 PEAP 内操作。 有关配置的详细信息,请参阅 智能卡或其他证书属性配置项目

    • EAP-Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2)

      安全密码 EAP-MS-CHAP v2 是一种 EAP 类型,可与用于基于密码的网络身份验证的 PEAP 一起使用。 EAP-MsCHAP v2 还可用作 VPN 的独立方法,但仅作为适用于无线的 PEAP 内部方法。

  • EAP-隧道传输层安全性 (TTLS)

  • EAP-用户识别模块 (SIM)、EAP-身份验证和密钥协议 (AKA) 及 EAP-AKA Prime (AKA')

    支持使用 SIM 卡进行身份验证,在客户从移动网络运营商处购买无线宽带服务计划时实现。 在该计划中,客户通常会收到一个针对 SIM 身份验证进行了预配置的无线配置文件。

    本主题提供有关以下内容的信息:

EAP-TLS、PEAP 和 EAP-TTLS

你可以通过下列方式访问经过 802.1X 验证的有线和无线访问的 EAP 属性:

  • 在组策略中配置有线网络 (IEEE 802.3) 策略和无线网络 (IEEE 802.11) 策略扩展。

  • 在客户端计算机上手动配置有线或无线连接。

你可以通过下列方式访问虚拟专用网 (VPN) 连接的 EAP 属性:

  • 使用连接管理器管理工具包 (CMAK) 配置 VPN 连接。

  • 在客户端计算机上手动配置 VPN 连接。

默认情况下,你可以为经过 802.1X 验证的有线访问、经过 802.1X 验证的无线访问和 VPN 配置下列网络身份验证方法的 EAP 设置:

  • Microsoft:智能卡或其他证书 (EAP-TLS)
  • Microsoft: 受保护的 EAP (PEAP)
  • Microsoft:EAP-TTLS

此外,默认情况下,MS-CHAP-V2 网络身份验证方法可用于 VPN。

受保护的 EAP 属性配置设置

此部分列出了可为受保护的 EAP 配置的设置。

重要

为 PEAP 和 EAP 部署同种类型的身份验证方法会导致安全漏洞。 如果要同时部署 PEAP 和 EAP(不受保护),请勿使用相同的身份验证类型。 例如,如果部署 PEAP-TLS,则不要同时部署 EAP-TLS。

通过验证证书来验证服务器的标识

此项指定客户端验证提供给客户端计算机的服务器证书是否具有正确的签名、是否未过期,以及是否由受信任的根证书颁发机构颁发 (CA) 。 默认设置为 "已启用"。 如果禁用此复选框,则在身份验证过程中,客户端计算机将无法验证服务器的标识。如果不进行服务器身份验证,则用户面临严重安全风险,包括用户可能在不知情的情况下连接到恶意网络。

连接到这些服务器

此项允许您为提供网络身份验证和授权的远程身份验证拨入用户服务 (RADIUS) 服务器指定名称。 请注意,你必须键入与每个 RADIUS 服务器证书的 "使用者" 字段中显示的名称完全相同的名称,或使用正则表达式来指定服务器名称。 可以使用正则表达式的完整语法来指定服务器名称,但是,若要使用文本字符串区分正则表达式,则必须在指定的字符串中至少使用一个 ""。 例如,可以指定 nps.example.com 以指定 RADIUS 服务器 nps1.example.com 或 nps2.example.com。

即使未指定 RADIUS 服务器,客户端仍将验证 RADIUS 服务器证书是否由受信任的根 CA 颁发。

默认值:

  • 有线和无线均为“未启用”
  • VPN 为“已启用”

受信任的根证书颁发机构

此项列出了受信任的根证书颁发机构。 此列表是从计算机和用户证书存储中安装的受信任的根 Ca 生成的。 你可以指定请求方使用哪些受信任的根 CA 证书来确定其是否信任你的服务器,如运行网络策略服务器 (NPS) 的服务器或配置服务器。 如果未选定受信任的根 CA,则 802.1X 客户端将验证 RADIUS 服务器的计算机证书是否由已安装的受信任的根 CA 颁发。 如果选定了一个或多个受信任的根 CA,则 802.1X 客户端将验证 RADIUS 服务器的计算机证书是否由选定的受信任的根 CA 颁发。 即使未选定受信任的根 CA,客户端仍将验证 RADIUS 服务器证书是否由受信任的根 CA 颁发。

如果你的网络上有公钥基础结构 (PKI),并且使用你的 CA 向 RADIUS 服务器颁发证书,则你的 CA 证书将自动添加到受信任的根 CA 列表中。

你也可以从非 Microsoft 供应商购买 CA 证书。 一些非 Microsoft 的受信任的根 CA 会随你所购买的证书一起提供软件,该软件可将所购买的证书自动安装到“受信任的根证书颁发机构”证书存储中。 在此情况下,该受信任的根 CA 会自动出现在受信任的根 CA 列表中。

注意

请不要为“当前用户”和“本地计算机”指定客户端计算机的“受信任的根证书颁发机构”证书存储中尚未列出的受信任的根 CA 证书。 如果指派未安装在客户端计算机上的证书,则身份验证将失败。

默认值 = 未启用,未选定受信任的根 Ca

连接之前进行通知

此项指定在未指定服务器名称或根证书的情况下是否通知用户,或服务器的标识是否无法验证。

默认情况下,将提供下列选项:

  • 案例 1:勿要求用户对新服务器或受信任的 CA 进行授权 指定在下列情况中:

    • “连接到这些服务器”列表中未显示服务器的名称
    • 或者找到了根证书,但在“PEAP 属性”的“受信任的根证书颁发机构”列表中未选定该根证书
    • 或者计算机中找不到根证书

    则不通知用户,且连接尝试失败。

  • 案例 2: 告知用户是否未指定服务器名称或根证书指定在下列情况中:

    • “连接到这些服务器”列表中未显示服务器的名称
    • 或者找到了根证书,但在“PEAP 属性”的“受信任的根证书颁发机构”列表中未选定该根证书

    然后,系统将提示用户是否接受根证书。 如果用户接受该证书,则继续身份验证。 如果用户拒绝该证书,则连接尝试失败。 在此选项中,如果计算机上不存在根证书,则不通知用户,且连接尝试失败。

  • 案例3: 告知用户服务器的标识是否无法验证 指定 if:

    • “连接到这些服务器”列表中未显示服务器的名称
    • 或者找到了根证书,但在“PEAP 属性”的“受信任的根证书颁发机构”列表中未选定该根证书
    • 或者计算机中找不到根证书

    然后,系统将提示用户是否接受根证书。 如果用户接受该证书,则继续身份验证。 如果用户拒绝该证书,则连接尝试失败。

选择身份验证方法

使用此项可以选择用于使用 PEAP 进行网络身份验证的 EAP 类型。 默认情况下,两种 EAP 类型可用、 安全密码 (MSCHAP v2) 智能卡或其他证书 (eap-tls) 。 但是,EAP 是一种灵活的协议,它允许包含其他 EAP 方法,且不仅限于这两种类型。

有关详细信息,请参阅:

默认值 = Secure password (MSCHAP v2)

配置

此项提供对指定 EAP 类型的属性设置的访问权限。

启用快速重新连接

在以前已建立安全关联的情况下,能够更有效地创建新的或刷新的安全关联。

对于 VPN 连接,当用户的 Internet 连接临时中断时,“快速重新连接”会使用 IKEv2 技术提供无缝而持续的 VPN 连接。 使用无线移动宽带进行连接的用户将从此功能获益。

以下是一种常见的获益情况:用户在乘火车途中使用无线移动宽带卡连接到 Internet,然后建立了与企业网络的 VPN 连接。

当火车穿入隧道时,Internet 连接中断。 当火车开出隧道时,无线移动宽带卡自动重新连接到 Internet。

重新建立 internet 连接时,"快速重新连接" 会自动重新建立活动的 VPN 连接。 尽管重新连接可能需要几秒钟时间才会发生,但该操作的执行对于用户是透明的。

默认值为“已启用”

强制执行网络访问保护

此项指定在允许连接到网络之前,对 EAP 请求方执行系统运行状况检查,以确定它们是否满足系统运行状况要求。

默认值为“未启用”

如果服务器没有显示加密绑定的 TLV 则断开连接

此项指定如果 RADIUS 服务器没有显示加密绑定的类型-长度-值 (TLV) ,连接客户端必须结束网络身份验证过程。 加密绑定的 TLV 通过将内部身份验证方法和外部身份验证方法相结合,来增强 PEAP 中 TLS 隧道的安全性,这样攻击者就无法通过使用 PEAP 通道重定向 MS-CHAP v2 身份验证来执行中间人攻击。

默认值为“未启用”

仅 (Windows 8 启用标识隐私)

指定对客户端进行配置,以便在客户端对 RADIUS 服务器进行验证之前无法发送其标识,并为键入匿名标识值留出空间(可选)。 例如,如果选择 " 启用标识隐私 ",然后键入 "guest" 作为匿名标识值,则将 guest@example 具有身份 alice@example 的用户的标识响应。 如果选择 " 启用标识隐私 ",但未提供匿名标识值,则用户 alice@example 的标识响应为

此设置仅适用于运行 Windows 8 和更早版本的计算机。

默认值为“未启用”

安全密码属性配置项目

如果任何) 指定当前基于用户的 Windows 登录名和密码用作网络身份验证凭据,则选中 "自动使用我的 Windows 登录名和密码 (和域"。

默认值:

  • 有线和无线均为“已启用”
  • VPN 为“未启用”

智能卡或其他证书属性配置项目

此部分列出可以为 EAP-TLS 配置的项目。

使用我的智能卡

此项指定发出身份验证请求的客户端必须提供用于网络身份验证的智能卡证书。

默认值:

  • 有线和无线均为“未启用”
  • VPN 为“已启用”

在此计算机上使用证书

此项目指定身份验证客户端必须使用位于 当前用户本地计算机 证书存储中的证书。

默认值:

  • 有线和无线均为“已启用”
  • VPN 为“未启用”

此项指定 Windows 是否筛选出不可能满足身份验证要求的证书。 在提示用户选择证书时,此选项可用于限制可用证书的列表。

默认值:

  • 有线和无线均为“已启用”
  • VPN 为“未启用”

高级

此项将打开 " 配置证书选择 " 对话框。 有关 配置证书选择的详细信息,请参阅 配置新证书选择配置项目

通过验证证书来验证服务器的标识

此项指定客户端验证提供给客户端计算机的服务器证书是否具有正确的签名、是否未过期,以及是否由受信任的根证书颁发机构颁发 (CA) 。 不要禁用此复选框,否则在进行身份验证期间,客户端计算机将无法验证服务器的标识。 如果不进行服务器身份验证,用户将面临极大的安全风险,用户可能在不知情的情况下连接到未授权网络。

默认值为“已启用”

连接到这些服务器

此项允许您为提供网络身份验证和授权的 RADIUS 服务器指定名称。 请注意,你必须键入与每个 RADIUS 服务器证书的 "使用者" 字段中显示的名称 完全 相同的名称,或使用正则表达式来指定服务器名称。 可以使用正则表达式的完整语法来指定服务器名称,但是,若要使用文本字符串区分正则表达式,则必须在指定的字符串中至少使用一个 ""。 例如,可以指定 nps.example.com 以指定 RADIUS 服务器 nps1.example.com 或 nps2.example.com。

即使未指定 RADIUS 服务器,客户端仍将验证 RADIUS 服务器证书是否由受信任的根 CA 颁发。

默认值:

  • 有线和无线均为“未启用”
  • VPN 为“已启用”

受信任的根证书颁发机构

此项列出了 受信任的根证书颁发机构。 此列表是从计算机和用户证书存储中安装的受信任的根 Ca 生成的。 可以指定请求方使用哪些受信任的根 CA 证书来确定其是否信任你的服务器,如运行 NPS 的服务器或配置服务器。 如果未选定受信任的根 CA,则 802.1X 客户端将验证 RADIUS 服务器的计算机证书是否由已安装的受信任的根 CA 颁发。 如果选定了一个或多个受信任的根 CA,则 802.1X 客户端将验证 RADIUS 服务器的计算机证书是否由选定的受信任的根 CA 颁发。

如果你的网络上有公钥基础结构 (PKI),并且使用你的 CA 向 RADIUS 服务器颁发证书,则你的 CA 证书将自动添加到受信任的根 CA 列表中。

你也可以从非 Microsoft 供应商购买 CA 证书。 一些非 Microsoft 的受信任的根 CA 会随你所购买的证书一起提供软件,该软件可将所购买的证书自动安装到“受信任的根证书颁发机构”证书存储中。 在此情况下,该受信任的根 CA 会自动出现在受信任的根 CA 列表中。 即使未选定受信任的根 CA,客户端仍将验证 RADIUS 服务器证书是否由受信任的根 CA 颁发。

请不要为“当前用户”和“本地计算机”指定客户端计算机的“受信任的根证书颁发机构”证书存储中尚未列出的受信任的根 CA 证书。

注意

如果指派未安装在客户端计算机上的证书,则身份验证将失败。

默认值为“未启用,未选定受信任的根 CA”。

查看证书

此项使你可以查看所选证书的属性。

不提示用户对新服务器或受信任的证书颁发机构进行授权

如果启用了) ,则此项可防止系统提示用户信任服务器证书,如果该证书配置不正确、尚未被信任或都 (。 建议选中此复选框以简化用户体验,并防止用户误选择信任由攻击者部署的服务器。

默认值为“未启用”

为此连接使用一个不同的用户名

此项指定是否使用用户名进行身份验证,该用户名不同于证书中的用户名。

默认值为“未启用”

配置新证书选择配置项目

使用“新证书选择”可以配置一些条件,客户端计算机使用这些条件自动选择客户端计算机上合适的证书进行身份验证。 当通过有线网络 (IEEE 802.3) 策略、无线网络 (IEEE 802.11) 策略,或通过用于 VPN 的连接管理器管理工具包 (CMAK) 向网络客户端计算机提供配置时,客户端会使用指定的身份验证条件自动进行配置。

此部分列出了用于 选择新证书的配置项目,以及每个配置项目的描述。

证书颁发者

此项指定是否启用证书颁发者筛选。

默认值为“未选择”

“证书颁发者”列表

用于为证书指定一个或多个证书颁发者。

列出满足以下条件的所有颁发者的名称:本地计算机帐户的“受信任的根证书颁发机构”或“中间证书颁发机构”证书存储中存在与这些颁发者对应的证书颁发机构 (CA) 证书。

  • 包括所有根证书颁发机构和中间证书颁发机构。

  • 仅包含那些计算机中存在其对应的有效证书(例如,未过期或未吊销的证书)的颁发者。

经允许可用于身份验证的证书的最终列表仅包含那些由该列表中选定的任何颁发者所颁发的证书。

默认值为“未选择”

扩展密钥用法 (EKU)

可以选择" 所有用途""客户端身份验证""任何用途"或这些用途的任意组合。 指定当选中了某个组合时,所有符合这三个条件中至少一个条件的证书都被视作可用于向服务器对客户端进行身份验证的有效证书。 如果启用了 EKU 筛选,则必须选择其中一个选项;否则,“确认”命令控件会被禁用。

默认值为“未启用”

所有用途

选中此项时,此项指定将具有"所有 用途" EKU 的证书视为有效证书,以便向服务器对客户端进行身份验证。

默认 = 选择 "扩展密钥用法 (EKU) 时 选中

客户端身份验证

选中此项时,此项指定将具有客户端 身份验证 EKU 的证书和指定的 EKU 列表视为有效的证书,以便向服务器对客户端进行身份验证。

默认 = 选择 "扩展密钥用法 (EKU) 时 选中

任何用途

选中此项时,此项指定所有具有任意 用途 EKU 和指定 EKU 列表的证书都被视为有效证书,以便向服务器对客户端进行身份验证。

默认 = 选择 "扩展密钥用法 (EKU) 时 选中

添加

此项将打开"选择 EKUS"对话框,使你能够将标准、自定义或供应商特定的 EKUs 添加到"客户端身份验证"或"任何用途"列表中。

默认值为“未列出任何 EKU”

删除

此项从"客户端身份验证"或"任何用途 " 列表中删除 所选的 EKU

默认值为“N/A”

注意

当同时启用了“证书颁发者”和“扩展密钥用法 (EKU)”时,只有那些同时满足这两个条件的证书才被视为可用作向服务器对客户端进行身份验证的有效证书。

选择 EKU

你可以从提供的列表中选择一个 EKU,或添加一个新的 EKU。

详细信息
添加 打开" 添加或编辑 EKU "对话框,用于定义和添加自定义 EKU。 在“从下表中选择 EKU”中,从列表中选择一个 EKU,然后单击“确定”将该 EKU 添加到“客户端身份验证”或“任何用途”列表中。
编辑 打开 "添加或编辑 EKU "对话框,并可用于编辑已添加的自定义 EKU。 你无法编辑默认的预定义 EKU。
删除 从"选择 EKU"对话框中的 EKU 列表中删除 所选的自定义 EKU 。 你无法删除默认的预定义 EKU。

添加/编辑 EKU

详细信息
输入 EKU 的名称 为键入自定义 EKU 的名称留出空间。
输入 EKU OID 为键入 EKU 的 OID 留出空间。 仅允许数字、分隔符 和“.”。 允许通配符(该情况下允许层次结构中的所有子 OID)。 例如,输入 1.3.6.1.4.1.311.* 时允许 1.3.6.1.4.1.311.42 和 1.3.6.1.4.1.311.42.2.1

TTLS 配置项目

EAP-TTLS 是一种基于标准的 EAP 隧道方法,支持相互身份验证,并通过使用 EAP 方法和其他旧协议为含客户端身份验证提供安全隧道。 Windows Server 2012 添加 EAP-TTLS 仅提供客户端支持,目的是支持与支持 EAP-TTLS 的最常见部署 RADIUS 服务器进行互操作。

本部分列出了可针对 EAP-TTLS 配置的项。

仅启用标识 (Windows 8隐私)

此项指定客户端配置为在客户端对 RADIUS 服务器进行身份验证之前无法发送其标识,并且可以选择提供一个位置来键入匿名标识值。 例如, 如果选择"启用标识隐私",然后键入"guest"作为匿名标识值,则标识为"alice@example的用户的标识guest@example。 如果选择" 启用标识隐私 ",但不提供匿名标识值,则用户alice@example响应为

此设置仅适用于运行 Windows 8。

默认值为“未启用”

连接到这些服务器

通过此项可以指定提供网络身份验证和授权的 RADIUS 服务器的名称。 请注意,必须键入名称 每个 RADIUS 服务器证书的"主题"字段中显示的名称完全相同,或使用正则表达式指定服务器名称。 可以使用正则表达式的完整语法来指定服务器名称。 但是,若要区分正则表达式与文本字符串,必须在指定的字符串中至少使用一个 * 。 例如,可以指定 nps*.example.com,以指定 RADIUS 服务器 nps1.example.com 或 nps2.example.com。 即使未指定 RADIUS 服务器,客户端仍将验证 RADIUS 服务器证书是否由受信任的根 CA 颁发。

默认值 = 无

受信任的根证书颁发机构

此项列出 受信任的根证书颁发机构。 该列表基于计算机和用户证书存储中安装的受信任根 CA 生成。 可以指定请求方使用哪些受信任的根 CA 证书来确定其是否信任你的服务器,如运行 NPS 的服务器或配置服务器。 如果未选定受信任的根 CA,则 802.1X 客户端将验证 RADIUS 服务器的计算机证书是否由已安装的受信任的根 CA 颁发。 如果选定了一个或多个受信任的根 CA,则 802.1X 客户端将验证 RADIUS 服务器的计算机证书是否由选定的受信任的根 CA 颁发。 即使未选定受信任的根 CA,客户端仍将验证 RADIUS 服务器证书是否由受信任的根 CA 颁发。

如果你的网络上有公钥基础结构 (PKI),并且使用你的 CA 向 RADIUS 服务器颁发证书,则你的 CA 证书将自动添加到受信任的根 CA 列表中。 如果选择根 CA 证书,则会在加入域的客户端计算机上安装该证书。

你也可以从非 Microsoft 供应商购买 CA 证书。 一些非 Microsoft 的受信任的根 CA 会随你所购买的证书一起提供软件,该软件可将所购买的证书自动安装到“受信任的根证书颁发机构”证书存储中。 在此情况下,该受信任的根 CA 会自动出现在受信任的根 CA 列表中。

请不要为“当前用户”和“本地计算机”指定客户端计算机的“受信任的根证书颁发机构”证书存储中尚未列出的受信任的根 CA 证书。

注意

如果指派未安装在客户端计算机上的证书,则身份验证将失败。

默认值 = 未启用,未选择受信任的根 CBA

如果无法对服务器进行授权,则请勿提示用户

此项指定 (选择) ,如果服务器证书验证由于以下任何原因而失败,则系统会提示用户接受或拒绝服务器:

  • “受信任的根证书颁发机构”列表中找不到或未选定服务器证书的根证书。
  • 证书链中找不到一个或多个中间根证书。
  • 服务器证书中的使用者名称与“连接到这些服务器”列表中指定的任何服务器均不匹配。

默认值为“未选择”

选择一个用于身份验证的非 EAP 方法

指定是使用非 EAP 还是使用 EAP 类型进行身份验证。 如果 选择了"选择用于身份验证的非 EAP 方法" ,则 "选择用于身份验证的 EAP 方法"处于禁用状态。 如果中“选择一个用于身份验证的非 EAP 方法”,则下拉列表中会提供以下非 EAP 身份验证类型:

  • PAP
  • CHAP
  • MS-CHAP
  • MS-CHAP v2

默认值:

  • “选择一个用于身份验证的非 EAP 方法” 值为“已启用”
  • 非 EAP 类型为“PAP”

自动使用我的 Windows 登录名称和密码

启用后,此项Windows登录凭据。 仅当在“选择一个用于身份验证的非 EAP 方法”下拉列表中选择了“MS-CHAP v2”时启用此复选框为 PAP、CHAPMS-CHAP 身份验证类型Windows自动使用我的登录名和密码。

选择一个用于身份验证的 EAP 方法

此项指定是使用 EAP 类型还是非 EAP 类型进行身份验证。 如果 选择了"选择要进行身份验证的 EAP 方法" ,则 "选择非 EAP 方法进行身份验证 "处于禁用状态。 如果默认情况下已选择“选择一个用于身份验证的非 EAP 方法”,则下拉列表中会提供以下非 EAP 身份验证类型:

  • Microsoft: 智能卡或其他证书

  • Microsoft: MS-CHAP v2

  • MS-CHAP

  • MS-CHAP v2

    注意

    "选择用于身份验证的 EAP 方法"下拉列表将枚举服务器上安装的所有 EAP 方法,PEAPFAST方法除外。 EAP 类型按照计算机发现它们的时间顺序排列。

配置

打开指定 EAP 类型的属性对话框。 有关默认 EAP 类型的详细信息,请参阅智能卡或其他证书属性配置项目或安全密码 (EAP-MSCHAP v2) 属性配置项目

EAP-SIM 配置设置

EAP 用户识别模块 (SIM) 用于全球移动通信系统 (GSM) 的身份验证和会话密钥发行。 RFC 4186 中定义了 EAP-SIM。

下表列出了 EAP-SIM 的配置设置。

项目 说明
使用强密码密钥 指定在选定时,配置文件使用强加密。
当伪标识可用时,请勿向服务器公开真实标识 启用后,如果服务器请求永久标识,即使该客户端具有伪标识,也会强制客户端阻止身份验证。 伪标识用于标识隐私,防止在身份验证期间泄露用户的实际标识或永久标识。
启用领域的使用 为键入领域名称留出空间。 如果此字段留空并选中"启用领域使用",则领域派生自国际移动订阅者标识 (IMSI) ,使用领域 3gpp.org,如第三代合作关系 Project (3GPP) 标准 23.003 V6.8.0 中所述。
指定领域 提供用于键入领域名称的位置

EAP-AKA 配置设置

全球移动通信系统 (UMTS) 的 EAP 身份验证和密钥协议 (AKA) 用于通过 UMTS 全球用户识别模块 (USIM) 进行身份验证和会话密钥发行。 RFC 4187 中定义了 EAP-AKA。

下表列出了 EAP-AKA 的配置设置。

项目 说明
当伪标识可用时,请勿向服务器公开真实标识 启用后,如果服务器请求永久标识,即使该客户端具有伪标识,也会强制客户端阻止身份验证。 伪标识用于标识隐私,防止在身份验证期间泄露用户的实际标识或永久标识。
启用领域的使用 为键入领域名称留出空间。 如果此字段留空并选中"启用领域使用",则领域派生自国际移动订阅者标识 (IMSI) ,使用领域 3gpp.org,如第三代合作关系 Project (3GPP) 标准 23.003 V6.8.0 中所述。
指定领域 为键入领域名称留出空间。

EAP-AKA 的配置设置

EAP- AKA Prime (AKA') 是修订版 EAP-AKA,用于通过使用非 3GPP 标准来支持对基于第三代合作伙伴项目 (3GPP) 网络的访问,这些非 3GPP 标准包括:

  • WiFi - 有时称为无线保真

  • 演进数据优化 (EVDO)

  • 全球互通微波存取 (WiMax)

RFC 5448 中定义了 EAP-AKA'。

下表列出了 EAP-AKA 的配置设置。

项目 说明
当伪标识可用时,请勿向服务器公开真实标识 启用后,如果服务器请求永久标识,即使该客户端具有伪标识,也会强制客户端阻止身份验证。 伪标识用于标识隐私,防止在身份验证期间泄露用户的实际标识或永久标识。
启用领域的使用 为键入领域名称留出空间。 如果此字段留空并选中"启用领域使用",则领域派生自国际移动订阅者标识 (IMSI) ,使用领域 3gpp.org,如第三代合作关系 Project (3GPP) 标准 23.003 V6.8.0 中所述。
指定领域 为键入领域名称留出空间。
忽略网络名称不匹配 在身份验证期间,客户端会将它已知的网络名称与 RADIUS 服务器发送的名称进行比较。 如果不匹配,如果选择此选项,将忽略它。 如果未选中,则身份验证失败。
启用快速重新身份验证 指定启用快速重新身份验证。 如果经常发生 SIM 身份验证,则快速重新身份验证有用。 会重复使用从完全身份验证派生的加密密钥。 因此,不必在每次身份验证尝试时运行 SIM 算法,因经常性身份验证尝试所导致的网络操作次数会减少。

其他资源

有关中经过身份验证的无线设置组策略,请参阅管理新的无线网络 (IEEE 802.11) 策略设置

有关 组策略 中经过身份验证的有线设置的其他信息,请参阅管理新的有线网络 (IEEE 802.3) 策略设置

有关用于经过身份验证的有线访问和经过身份验证的无线访问的高级设置的信息,请参阅 Advanced Security Settings for Wired and Wireless Network Policies