Das folgende Thema enthält Antworten auf häufig gestellte Fragen zu den EAPHost-APIs.
Was ist ein Bittsteller?
Der Supplicant ist die Entität, die mit EAPHost authentifiziert werden soll. Typische Supplicants sind 802.1X-Clients , 802.3-Clients und Routing- und RAS-Clients (RRAS), Point-to-Point-Clients (PPP).
Was ist ein Peer?
Der Peer ist die Clientseite einer EAP-Authentifizierung.
Wie unterscheidet sich ein Peer von einem Supplicant?
Der Supplicant transportiert Pakete, ein Peer hingegen nicht. Dennoch sind die Begriffe Peer, Supplicant und Client weitgehend synonym.
Was ist ein Authentifikator?
Der Authentifikator ist der drahtlose Zugriffspunkt, der Netzwerkzugriffsserver (NETWORK Access Server, NAS) oder das Netzwerkzugriffsgerät (NAD), das den Supplicant authentifiziert. Der Authentifikator wird auch als EAP-Server bezeichnet.
Wie lange ist die Lebensdauer einer Authentifizierung?
Die Lebensdauer einer einzelnen Authentifizierungssitzung auf Clientseite ist alles, was zwischen den aufgerufenen Funktionen EapHostPeerBeginSession und EapHostPeerEndSession auftritt. Die Lebensdauer auf der Authentifikatorseite ist alles, was zwischen den Funktionen EapPeerBeginSession und EapPeerEndSession auftritt.
Was ist ein BLOB? Warum sollte ich ein Konfigurationsblob (binär) in XML konvertieren?
Ein BLOB ist ein binäres großes Objekt. XML hat gegenüber einem binären Konfigurationsblob mehrere Vorteile. Konfigurationsdaten, die in XML gespeichert sind, sind von Menschen lesbar, von Menschen bearbeitbar und plattformübergreifend.
Wann konvertiere ich ein gespeichertes XML-BLOB wieder in ein binäres BLOB?
Es ist möglich, ein binäres BLOB oder XML-BLOB zu speichern, aber Sie müssen das XML-BLOB vor der Verwendung mit Laufzeit-APIs immer wieder in ein binäres BLOB konvertieren. Die Laufzeit-APIs können kein XML-Verzeichnis akzeptieren.
Was sind native Methoden?
Native EAP-Methoden verwenden die neue EAPHost-API.
Was sind Legacymethoden?
Legacy-EAP-Methoden werden in der Referenz zu Extensible Authentication Protocol definiert. Die älteren EAP-Methoden sind für die Verwendung in Windows Vista und Windows Server 2008 verfügbar. Diese Methoden sind möglicherweise nicht für die Verwendung in nachfolgenden Versionen des Betriebssystems verfügbar.
Was ist der Unterschied zwischen legacy und nativen Methoden?
Die nativen APIs sind einfacher und verfügen über weniger Features. Alle neuen EAP-Methoden sollten mithilfe der EAPHost-API geschrieben werden.
Was ist "Gruppenrichtlinie"?
Eine Beschreibung der Gruppenrichtlinie finden Sie unter Gruppenrichtlinie Collection.
Können EAPHost-Funktionen die von der Gruppenrichtlinie angegebene Konfigurationsrichtlinie außer Kraft setzen?
Nein, niemals. Wenn eine Gruppenrichtlinie verwendet wird, überschreiben die Gruppenrichtlinieneinstellungen immer die EAPHost-Konfigurationseinstellungen.
Was ist einmaliges Anmelden (Single Sign-On, SSO)?
802.1X ist ein Layer-2-Authentifizierungsmechanismus. Abhängig von der SSO-Konfiguration ermöglicht SSO Benutzern die Authentifizierung beim Netzwerk mithilfe der 802.1X-Authentifizierung vor oder unmittelbar nach der Anmeldung bei Windows. SSO kann so konfiguriert werden, dass Windows-Anmeldeinformationen für die Netzwerkauthentifizierung verwendet werden (in diesem Fall geben Benutzer ihre Anmeldeinformationen nur einmal ein) oder unterschiedliche Anmeldeinformationen für die Windows- und Netzwerkauthentifizierung verwenden. Weitere Informationen finden Sie unter SSO und PLAP.
Was ist der Pre-Logon Access Provider (PLAP)
Weitere Informationen finden Sie unter SSO und PLAP.
Was ist PEAP (Protected Extensible Authentication Protocol)?
Weitere Informationen finden Sie unter PEAP und Informationen zum Extensible Authentication-Protokoll.
Wie geht PEAP mit der Wiederaufnahme und erneuten Authentifizierung von Sitzungen um?
Die Wiederaufnahme und erneute Authentifizierung der Sitzung erfolgt in der Regel während des Roamings in einem drahtlosen Netzwerk. Die Windows Data Protection-API (DPAPI) bietet eine Möglichkeit, Daten zu schützen und an einen Benutzer und optional die Anmeldesitzung zu binden. Der Aufrufer gibt CryptProtectMemory einen unverschlüsselten Puffer, und DPAPI verschlüsselt den Arbeitsspeicher. Später kann der Aufrufer den verschlüsselten Puffer an CryptUnprotectMemory übergeben, und DPAPI entschlüsselt den Arbeitsspeicher erneut. Weitere Informationen finden Sie unter TLS Inner Application Extension (TSL/IA) und PEAP.
Was ist EAP-Transport Level Security (EAP-TLS)?
EAP-TLS ist ein Client-Server-Protokoll, in dem in der Regel unterschiedliche Zertifikatprofile für den Client und den Server verwendet werden. Weitere Informationen finden Sie unter IETF RTC 2716.
Gewusst wie mithilfe der LSA-API (Local Security Authority) eine Kennwortänderung implementieren?
Verwenden Sie die LsaCallAuthenticationPackage-Funktion , um eine Kennwortänderung zu implementieren.
Warum sollte ich die Ablaufverfolgung in EAPHost aktivieren?
Die Ablaufverfolgungsprotokolle enthalten Debuginformationen (nur in Englisch verfügbar), die Microsoft-Entwickler und -Partner bei der Suche nach den Grundursachen für Probleme beim Authentifizierungsprozess unterstützen können. Weitere Informationen finden Sie unter Aktivieren der Ablaufverfolgung.
Warum tritt der Fehlercode NTE_BAD_KEY_STATE (0x8009000BL) auf, wenn ich die Kryptografie-API zum Anmelden beim EAP-TLS-Austausch verwende?
In Winerror.h wird NTE_BAD_KEY_STATE (0x8009000BL) als "Schlüssel nicht gültig für die Verwendung im angegebenen Zustand" definiert. Dieser Fehler wird in der Regel in den folgenden Szenarien zurückgegeben.
- Beim Versuch, ein nicht exportierbares BLOB für private Schlüssel zu exportieren
- Beim erfolglosen Versuch, ein PRF-Hashhandle (Pseudo-Random Function) mit [CryptCreateHash](/windows/desktop/api/wincrypt/nf-wincrypt-cryptcreatehash) zu generieren
Was ist eine Pseudo-Random-Funktion (PRF)?
Eine Funktion, die einen Schlüssel, eine Bezeichnung und einen Seed als Eingabe akzeptiert, erzeugt dann eine Ausgabe beliebiger Länge. Weitere Informationen finden Sie unter Beenden von Nachrichten im TLS 1.0-Protokoll.
Wie bindet EAPHost an Netzwerkadapter?
EAPHost ermöglicht das gleichzeitige Arbeiten mehrerer Supplicants, und jeder Supplicant kann an mehrere Netzwerkadapter gebunden werden. EAPHost-Supplicants stellen eine Bindung an die Netzwerkebenen bereit und steuern den Authentifizierungsprozess. Supplicants enthalten die Authentifizierungskonfiguration. Supplicants speichern auch den Zustand und sorgen für nachfolgende Verbindungssicherheit. Da EAPHost nicht direkt an einen Netzwerkmechanismus gebunden ist, ist eine supplizierte Erweiterbarkeit möglich.