Nell'argomento seguente vengono fornite risposte alle domande frequenti sulle API EAPHost.
Che cos'è un supplicante?
Il supplicante è l'entità da autenticare usando EAPHost. Le tipiche suppliche sono client 802.1X, client 802.3 e Routing e Servizio accesso remoto (RRAS), client POINT-to-Point (PPP).
Che cos'è un peer?
Il peer è il lato client di un'autenticazione EAP.
In che modo un peer differisce da un supplicante?
I pacchetti di trasporto supplicanti, mentre un peer non è. Tuttavia, i termini peer, supplicant e client sono in gran parte sinonimo.
Che cos'è un autenticatore?
L'autenticatore è il punto di accesso wireless, il server di accesso alla rete (NAS) o il dispositivo di accesso alla rete (NAD) che autentica il supplicante. L'autenticatore è noto anche come server EAP.
Qual è la durata di un'autenticazione?
La durata di una singola sessione di autenticazione sul lato client è tutto ciò che si verifica tra le funzioni EapHostPeerBeginSession e EapHostPeerEndSession che vengono chiamate. La durata sul lato authenticator è tutto ciò che si verifica tra le funzioni EapPeerBeginSession e EapPeerEndSession.
Che cos'è un BLOB? Perché convertire un BLOB di configurazione (binario) in XML?
UN BLOB è un oggetto binario di grandi dimensioni. XML offre diversi vantaggi rispetto a un BLOB di configurazione binaria. I dati di configurazione archiviati in XML sono leggibili, modificabili dall'utente e multipiattaforma.
Quando si converte un BLOB XML archiviato in un BLOB binario?
È possibile archiviare un BLOB binario o UN BLOB XML, ma è sempre necessario convertire il BLOB XML in un BLOB binario prima di usare con api di runtime; le API di runtime non possono accettare una directory XML.
Quali sono i metodi nativi?
I metodi EAP nativi usano la nuova API EAPHost.
Quali sono i metodi legacy?
I metodi EAP legacy sono definiti nel riferimento al protocollo di autenticazione estendibile. I metodi EAP legacy sono disponibili per l'uso in Windows Vista e Windows Server 2008. Questi metodi potrebbero non essere disponibili per l'uso nelle versioni successive del sistema operativo.
Qual è la differenza tra metodi legacy e nativi?
Le API native sono più semplici e hanno meno funzionalità. Tutti i nuovi metodi EAP devono essere scritti usando l'API EAPHost.
Che cos'è "Criteri di gruppo"?
Per una descrizione dei criteri di gruppo, vedere Criteri di gruppo Collection.
Le funzioni EAPHost possono eseguire l'override dei criteri di configurazione specificati dai criteri di gruppo?
No, mai. Se i criteri di gruppo sono in uso, le impostazioni dei criteri di gruppo eseguiranno sempre l'override delle impostazioni di configurazione di EAPHost.
Che cos'è Single Sign-On (SSO)?
802.1X è un meccanismo di autenticazione di livello 2. A seconda della configurazione SSO, l'accesso SSO consente agli utenti di eseguire l'autenticazione nella rete usando l'autenticazione 802.1X prima o immediatamente dopo l'accesso a Windows. L'accesso Single Sign-On può essere configurato per l'uso delle credenziali di Windows per l'autenticazione di rete (in questo caso gli utenti immettono le credenziali una sola volta) o usano credenziali diverse per l'autenticazione di windows e di rete. Per altre informazioni, vedere SSO e PLAP.
Che cos'è il provider di accesso pre-accesso (PLAP)
Per altre informazioni, vedere SSO e PLAP.
Che cos'è il protocollo PEAP (Protected Extensible Authentication Protocol)?
Per altre informazioni, vedere PEAP e About Extensible Authentication Protocol.
In che modo PEAP gestisce la ripresa della sessione e l'autenticazione di nuovo?
La ripresa della sessione e l'autenticazione vengono in genere eseguite durante il roaming in una rete wireless. L'API Protezione dati di Windows (DPAPI) consente di proteggere e associare i dati a un utente e facoltativamente alla sessione di accesso. Il chiamante fornisce CryptProtectMemory un buffer non crittografato e DPAPI crittograferà la memoria sul posto. In seguito, il chiamante può passare il buffer crittografato a CryptUnprotectMemory e DPAPI decrittograferà nuovamente la memoria. Per altre informazioni, vedere Estensione dell'applicazione interna TLS (TSL/IA) e PEAP.
Che cos'è EAP-Transport Sicurezza a livello (EAP-TLS)?
EAP-TLS è un protocollo client-server in cui vengono in genere usati profili di certificato distinti per il client e il server. Per altre informazioni, vedere IETF RTC 2716.
Ricerca per categorie implementare una modifica della password usando l'API LSA (Local Security Authority) ?
Usare la funzione LsaCallAuthenticationPackage per implementare una modifica della password.
Perché si vuole abilitare la traccia in EAPHost?
I log di traccia contengono informazioni di debug (disponibili solo in inglese) che possono aiutare gli sviluppatori e i partner Microsoft a individuare le cause radice di eventuali problemi riscontrati con il processo di autenticazione. Per altre informazioni, vedere Abilitazione della traccia.
Perché viene visualizzato il codice di errore, NTE_BAD_KEY_STATE (0x80009000BL) quando si usa l'API di crittografia per accedere allo scambio EAP-TLS?
In Winerror.h NTE_BAD_KEY_STATE (0x80009000BL) viene definito come "chiave non valida per l'uso nello stato specificato". Questo errore viene in genere restituito negli scenari seguenti.
- Quando si tenta di esportare un BLOB di chiave privata non esportabile
- Quando si tenta di generare un handle hash pseudo-casuale (PRF) usando [CryptCreateHash](/windows/desktop/api/wincrypt/nf-wincrypt-crypt-cryptcreatehash)
Che cos'è una funzione pseudo-casuale (PRF)?
Una funzione che accetta una chiave, un'etichetta e un seeding come input, quindi produce un output di lunghezza arbitraria. Per altre informazioni, vedere Completare i messaggi nel protocollo TLS 1.0.
Come si associa EAPHost alle schede di rete?
EAPHost consente a più suppliche di funzionare simultaneamente e ogni supplicante può associare a più schede di rete. I supplici EAPHost forniscono l'associazione ai livelli di rete e guidano il processo di autenticazione. I supplici contengono la configurazione dell'autenticazione. I supplici salvano anche lo stato e forniscono la sicurezza della connessione successiva. Poiché EAPHost non è direttamente associato a alcun meccanismo di rete, l'estendibilità supplicante è possibile.