Extensible Authentication Protocol
EAP (Extensible Authentication Protocol) on alun perin PPP-protokollan yhteydessä kehitetty käyttäjien tunnistusprotokolla (RFC 3748, päivitysversio RFC 5247). IEEE sovitti sen toimimaan myös 802.1X-protokollan kanssa. [1]
Sitä ajetaan käytännössä Työasemalta RADIUS-palvelimelle asti. Se on vain todennusprotokollan runko, jolla voidaan neuvotella mitä tarkkaa todennusmekanismia käytetään. Mahdollisia IETF:n määrittämiä avoimia EAP-todennusprotokollia ovat:
- EAP-SRP: haaste/vastaus-tyylinen salasanatunnistus.
- EAP-TLS: TLS-pohjainen varmenne/sirukorttitunnistus.
Valmistajakohtaisia EAP-protokollia:
- EAP-SIM: Nokian määrittelemä tapa todentaa käyttäjät SIM-kortilla.
- LEAP (Lightweight EAP): Ciscon valmistajakohtainen järjestelmä, joka on kryptografisesti heikko ja murrettavissa.
Muita EAP-protokollia[1]:
- EAP-MD5: Kevytrakenteinen mutta heikosti suojattu tunnistus.
- EAP-TTLS: Tunneled TLS - laajennus EAP-TLS:lle joka helpottaa tunnistautumista.
Koska EAP ei sinällään todenna palvelinta asiakkaalle päin ja sisältää muita ongelmia, useimmiten nykyään käytetään sen suojattua muotoa Protected EAP (PEAP). Siinä ensin käydään TLS-neuvottelu palvelimelta asiakkaalle ja sen jälkeen ajetaan TLS-suojatussa tunnelissa haluttua huonommin suojattua EAP-protokollaa.
Lähteet
muokkaa- ↑ a b Harri Lehmonen (insinöörityö): 802.1X-autentikoinnin käyttöönotto toimistoverkossa 2007. Helsingin ammattikorkeakoulu, Tekniikan ja liikenteen toimiala. Viitattu 25.7.2021.