Обзор

EAP всегда передается другим протоколом. Наиболее распространенными видами транспорта между запрашивающим устройством (аутентифицирующим устройством пользователя) и NAS (сервером сетевого доступа) являются IEEE-802.1X EAPOL (EAP Over Lan), PPP (протокол точка-точка) и IKEv2.

Для связи между NAS (также известным как средство проверки подлинности на языке 802.1X) и сервером RADIUS пакеты EAP фрагментируются по 253-байтовым границам и разбиваются на несколько атрибутов EAP-Message. Способ передачи EAP через RADIUS определяется RFC3579.

NAS обычно не отслеживает диалог EAP. Для методов EAP, обеспечивающих конфиденциальность, таких как EAP-TLS, EAP-PEAP и EAP-TTLS, отслеживание в любом случае не будет продуктивным, поскольку между запрашивающей стороной и сервером RADIUS будет установлен туннель TLS.

Аутентификация

Когда NAS получает пакет EAP от запрашивающей стороны, он удаляет инкапсуляцию (EAPOL/PPP/IKEv2) и фрагментирует данные EAP на фрагменты по 253 байта. Затем он вставит порции данных EAP в пакет RADIUS Access-Request как несколько атрибутов EAP-Message. Затем NAS отправит пакет RADIUS Access-Request на сервер RADIUS.

Сервер RADIUS использует наличие атрибутов EAP-Message как указание на то, что он должен выполнять аутентификацию EAP, точно так же, как он использует User-Password в качестве подсказки о том, что он должен выполнять PAP, и CHAP-пароль в качестве подсказки о том, что он должен выполнять CHAP.

Сервер RADIUS будет объединять атрибуты сообщения EAP в том порядке, в котором они были получены (именно поэтому важно, чтобы прокси-серверы не переупорядочивали атрибуты сообщения EAP) и передаст объединенные данные коду, который инициализирует конечный автомат EAP.

Затем код EAP сформулирует свой ответ и закодирует его как пакет EAP, разделит этот пакет на атрибуты EAP-Message и отправит эти атрибуты обратно в NAS в пакете RADIUS Access-Challenge.

Атрибут состояния также будет отправлен в запросе. Этот атрибут состояния будет включен NAS в следующий запрос на доступ. Атрибут состояния позволяет серверу RADIUS восстанавливать состояние аутентификации EAP между несколькими раундами запросов доступа/вызовов доступа. Обычно он используется в качестве ключа в хранилище текущих сеансов EAP.

Когда NAS получает Access-Challenge, он повторно собирает атрибуты EAP-Message, инкапсулирует данные EAP в EAPOL/PPP/IKEv2 и отправляет инкапсулированные данные обратно запрашивающей стороне.

Происходит несколько раундов обмена Access-Request/Access-Challenge, при этом NAS выступает в роли транслятора.

Когда у сервера RADIUS будет достаточно информации для принятия решения о принятии или отклонении пользователя, он отправит обратно сообщение EAP, содержащее EAP-Success/EAP-Failure. Сервер RADIUS отправит это сообщение EAP обратно на NAS в пакете Access-Accept или Accept-Reject. RFC3579 предписывает возвращать EAP-Success в пакетах Access-Accept, и EAP-Failures возвращаются в пакетах Access-Reject.

Когда ключевой материал необходимо распределить между NAS и запрашивающей стороной, ключевой материал для NAS предоставляется в атрибутах MS-MPPE-Recv-Key и MS-MPPE-Send-Key RADIUS, включенных в Access-Accept. Заявитель получит (или получит) один и тот же ключевой материал в ходе выполнения метода EAP. Способ получения этого ключевого материала различается в зависимости от метода EAP.

Когда пакет Access-Accept отправляется, обычно включают атрибуты, которые сообщают NAS, как настроить сеанс. Для сред 802.1X/Wireless общими атрибутами, возвращаемыми в NAS, являются Session-Timeout, который устанавливает максимальное ограничение на время сеанса, и Tunnel-Private-Group-ID и другие (RFC4675), в котором указана нетегированная VLAN для сеанса.

В заключение, RADIUS можно рассматривать как транспортный и управляющий (для NAS) протокол, а EAP можно рассматривать как фактический протокол аутентификации/авторизации, работающий поверх RADIUS.

Надеюсь это поможет!