このトピックでは、EAP メソッドの作成に関してよく寄せられるプログラミングに関する質問に対する回答を示します。
"構成データ" とは
"構成データ" と "接続データ" という用語は同義です。
"接続データ" とは
data" は、メソッドの構成情報を含む EAP メソッド固有の不透明 BLOB です。 この接続データは、 メソッドが最初に構成されたときに作成され、EAP メソッド自体以外のコンポーネントによって解釈または変更されることはありません。
"資格情報" とは
"credentials" と "user data" という用語は同義です。
"ユーザー データ" とは
data" は、ユーザー名やパスワードなどのユーザー資格情報データを含む EAP メソッド固有の不透明な BLOB です。 ユーザー データは、EAP メソッド自体以外のコンポーネントによって解釈または変更されることはありません。 "ユーザー データ" と "資格情報" という用語は同義です。
"EAP 属性" とは
"EAP 属性" は、事前に定義された種類のデータを含むデータ構造です。 属性は、EAP メソッドとサプリカント間、または EAP メソッドと認証子の間で情報を通信するために使用されます。 EAP メソッドのピアと認証子の実装では、ネットワーク経由でこれらの属性を交換できます。
構成 API とランタイム API は、同じメソッド DLL に表示できますか?
はい。 EAP メソッド自体のレジストリ エントリを構成するときは、必ず区別を指定してください。 構成パスとピア パスは同じである必要があります。
構成 API とランタイム API は別のメソッド DLL に表示できますか?
はい。 EAP メソッド自体のレジストリ エントリを構成するときは、必ず区別を指定してください。 構成パスとピア パスは、正しい DLL を指している必要があります。
EAP メソッド操作方法インストールしますか?
EAP メソッドをインストールするには、まず、EAP メソッド DLL 自体に DllRegisterServer と DllUnregisterServer を実装する必要があります。 その後、 regsvr32.exe を使用して、 メソッドをインストールしてアンインストールします。 適切なレジストリ キーも設定する必要があります。 詳細については、「 EAP メソッドのインストール」を参照してください。
帯域内ネットワーク アクセス保護 (NAP) のサポートとは
帯域内 NAP サポートが有効になっている場合、NAP パケットは EAP メソッド パケット内で転送されます。 これに対し、帯域外 NAP サポートが有効になっている場合、NAP ステートメント オブ ヘルス (SoH) 交換は内部から EAP メソッドパケット以外の手段を介して行われ、NAP によって生成された証明書は EAP メソッド認証で使用されます。
EAP メソッドのインバンド NAP サポートを有効にできますか?
はい。EAP メソッドのインバンド NAP サポートを有効にすることができます。 詳細については、「 EAP メソッドIn-Band NAP サポートを有効にする」を参照してください。
セキュア トンネリング (EAP-FAST) による EAP フレキシブル認証のしくみ
EAP-FAST シナリオは次のように動作します。
- メソッド UI を使用して、シングル サインオン (SSO) でパスワードの変更を処理します。
- メソッドは [eatCredentialsChanged](/windows/desktop/api/eaptypes/ne-eaptypes-eap_attribute_type) 属性を返します。
- サプリカントは、資格情報が変更されたことをユーザーに示し、ユーザーに資格情報の再入力を要求します。
- サプリカントはユーザーの資格情報を再入力し、それらの資格情報を メソッドに送信します。
事前共有キー (PSK) とは
送信信号の位相が変化して情報を伝達するデジタル信号を送受信する方法。 EAPConfigInputPSK 入力フィールドには、ユーザーの EAP-FAST PSK が含まれています。
WOW とは、EAPHost にとってどのように重要ですか?
Microsoft Windows-32-bit-On-Windows-64-bit (WOW) は、32 ビット x86 プラットフォーム アプリケーションをサポートする 64 ビット Windows のオペレーティング システム コンポーネントです。 通常、EAP メソッドの作成者は、構成データ、資格情報データ、対話型 UI データをカプセル化するために、何らかの形式の C/C++ 構造を定義します。 WOW やその他のシナリオでの非互換性を回避するには、さまざまなプロセッサ アーキテクチャ (32 ビットプロセッサと 64 ビット プロセッサ) でデータ構造が同様に配置されるようにすることが重要です。 通常、ダミー パディングは、32 ビットプロセッサと 64 ビット プロセッサの両方で構成、資格情報、および対話型 UI データが同じになるようにフィールドを配置するために使用されます。
"アクション コード" とは何ですか。また、これらのアクション コードが返される条件は何ですか?
"アクション コード" では、認証のフローを制御するメソッドが許可され、ステート マシンに不可欠です。 これらは、EAPHost が次に実行する必要があるアクションを示すために EAP メソッドによって返される値です。 たとえば、アクション コードは、EAP メソッドがパケットを送信する準備ができていることを EAPHost に示す場合があります。 サプリカントは EAP メソッドによって返されるすべてのアクション コードに従いますが、アクション コードは発行しません。詳細については、「 EAP ピアサプリカント アクション コード」を参照してください。
メソッドが "EapPeerMethodResponseActionDiscard" を返すタイミングと、このアクション コードが EAPHost に対してどのような意味を持つか。
EapPeerMethodResponseActionDiscard は EAP メソッドによって返され、メソッドに提供されたパケットを破棄する必要があることを EAPHost に示します。 具体的には、 メソッドはパケットが無効であると判断しました。 次に、EAPHost は次のパッケージを待機します。
メソッドが "EapPeerMethodResponseActionSend" を返すタイミングと、このアクション コードが EAPHost に対してどのような意味を持つか。
EAPPeerMethodResponseActionSend は、EAPHost によって受信された次のパケットをネットワーク アクセス サーバー (NAS) に送信する必要があることを EAPHost に示すために、EAP メソッドによって返されます。
メソッドが "EapPeerMethodResponseActionResult" を返すタイミングと、このアクション コードが EAPHost に対してどのような意味を持つか。
EapPeerMethodResponseActionResult は、認証セッションが終了し、そのセッションの結果が使用可能であることを EAPHost に示すために、EAP メソッドによって返されます。
メソッドが "EapPeerMethodResponseActionInvokeUI" を返すタイミングと、このアクション コードが EAPHost に対してどのような意味を持つか。
EapPeerMethodResponseActionInvokeUI は、認証を続行するためにユーザー入力が必要であり、その入力を取得するにはユーザー インターフェイス ダイアログ ボックスを表示する必要があることを EAPHost に示すために、EAP メソッドによって返されます。 ユーザー入力データが取得されると、EAPHost は更新された UI コンテキスト データを使用して EAP メソッドを再度呼び出すことができます。
メソッドが "EapPeerMethodResponseActionRespond" を返すタイミングと、このアクション コードが EAPHost に対してどのような意味を持つか。
EapPeerMethodResponseActionRespond は、認証時に EAPHost で使用できる属性があることを EAPHost に示すために、EAP メソッドによって返されます。 EAPHost は、 EapPeerGetResponseAttributes メソッドを呼び出し、その後に EapPeerSetResponseAttributes メソッドを呼び出すことによって、属性を取得します。
メソッドが "EapPeerMethodResponseActionNone" を返すタイミングと、このアクション コードが EAPHost に対してどのような意味を持つか。
EapPeerMethodResponseActionNone は、現時点ではアクションが必要ないことを EAPHost に示すために、EAP メソッドによって返されます。
認証側でトレースを有効にできますか?
はい。 詳細については、「 トレースの有効化」を参照してください。