次のトピックでは、EAPHost API に関してよく寄せられる質問に対する回答を示します。
サプリカントとは
サプリカントは、EAPHost を使用して認証されるエンティティです。 一般的なサプリカントは 、802.1X クライアント、802.3 クライアント、ルーティングおよびリモート アクセス サービス (RRAS)、ポイントツーポイント (PPP) クライアントです。
ピアとは
ピアは EAP 認証のクライアント側です。
ピアとサプリカントの違い
サプリカントはパケットを転送しますが、ピアはパケットを転送しません。 それでも、ピア、サプリカント、クライアントという用語はほとんど同義です。
認証システムとは
認証子は、サプリカントを認証するワイヤレス アクセス ポイント、ネットワーク アクセス サーバー (NAS)、またはネットワーク アクセス デバイス (NAD) です。 認証子は EAP サーバーとも呼ばれます。
認証の有効期間は何ですか?
クライアント側での 1 つの認証セッションの有効期間は、呼び出される EapHostPeerBeginSession 関数と EapHostPeerEndSession 関数の間で発生するすべてのものです。 認証側の有効期間は、 EapPeerBeginSession 関数と EapPeerEndSession 関数の間で発生するすべてのものです。
BLOB とは 構成 (バイナリ) BLOB を XML に変換する理由
BLOB はバイナリ ラージ オブジェクトです。 XML には、バイナリ構成 BLOB よりもいくつかの利点があります。 XML に格納される構成データは、人間が判読でき、人間が編集可能で、クロスプラットフォームです。
格納されている XML BLOB をバイナリ BLOB に変換するタイミング
バイナリ BLOB または XML BLOB を格納することはできますが、ランタイム API で使用する前に、必ず XML BLOB をバイナリ BLOB に変換する必要があります。ランタイム API は XML ディレクトリを受け入れることができません。
ネイティブ メソッドとは
ネイティブ EAP メソッドでは、新しい EAPHost API が使用されます。
レガシ メソッドとは
従来の EAP メソッドは、「 拡張認証プロトコル リファレンス」で定義されています。 従来の EAP メソッドは、Windows Vista および Windows Server 2008 で使用できます。 これらのメソッドは、以降のバージョンのオペレーティング システムでは使用できない場合があります。
レガシ メソッドとネイティブ メソッドの違いは何ですか?
ネイティブ API の方が簡単で、機能が少なくなります。 すべての新しい EAP メソッドは、EAPHost API を使用して記述する必要があります。
"グループ ポリシー" とは
グループ ポリシーの説明については、「コレクションのグループ ポリシー」を参照してください。
EAPHost 関数は、グループ ポリシーによって指定された構成ポリシーをオーバーライドできますか?
いいえ、決してありません。 グループ ポリシーが使用されている場合、グループ ポリシー設定は常に EAPHost 構成設定をオーバーライドします。
シングル サインオン (SSO) とは
802.1X は、レイヤー 2 認証メカニズムです。 SSO 構成に応じて、SSO を使用すると、ユーザーは Windows にログオンする前または直後に 802.1X 認証を使用してネットワークに対して認証できます。 SSO は、ネットワーク認証に Windows 資格情報を使用するように構成するか (ユーザーが資格情報を 1 回だけ入力する場合)、または Windows とネットワーク認証に異なる資格情報を使用するように構成できます。 詳細については、「 SSO と PLAP」を参照してください。
ログオン前アクセス プロバイダー (PLAP) とは
詳細については、「 SSO と PLAP」を参照してください。
保護された拡張認証プロトコル (PEAP) とは
詳細については、「 PEAP 」および「 拡張認証プロトコルについて」を参照してください。
PEAP はセッションの再開と再認証にどのように対処しますか?
通常、セッションの再開と再認証は、ワイヤレス ネットワークでのローミング中に発生します。 Windows Data Protection API (DPAPI) は、ユーザーおよび必要に応じてログオン セッションにデータを保護してバインドする方法を提供します。 呼び出し元は CryptProtectMemory に暗号化されていないバッファーを提供し、DPAPI はメモリを暗号化します。 後で、呼び出し元は暗号化されたバッファーを CryptUnprotectMemory に渡すことができます。DPAPI はメモリを再度暗号化解除します。 詳細については、「 TLS 内部アプリケーション拡張機能 (TSL/IA)」 および 「PEAP」を参照してください。
EAP-Transport レベル セキュリティ (EAP-TLS) とは
EAP-TLS は、通常、クライアントとサーバーに個別の証明書プロファイルが使用されるクライアント/サーバー プロトコルです。詳細については、「 IETF RTC 2716」を参照してください。
ローカル セキュリティ機関 (LSA) API を使用してパスワード変更を実装操作方法
LsaCallAuthenticationPackage 関数を使用して、パスワードの変更を実装します。
EAPHost でトレースを有効にする理由
トレース ログには、Microsoft 開発者とパートナーが認証プロセスで発生する問題の根本原因を見つけるのに役立つデバッグ情報 (英語でのみ利用可能) が含まれています。 詳細については、「 トレースの有効化」を参照してください。
Cryptography API を使用して EAP-TLS 交換にサインインするときに、エラー コード NTE_BAD_KEY_STATE (0x8009000BL) が表示されるのはなぜですか?
Winerror.h では、NTE_BAD_KEY_STATE (0x8009000BL) は "指定された状態で使用するために無効なキー" として定義されます。 このエラーは、通常、次のシナリオで返されます。
- エクスポートできない秘密キー BLOB をエクスポートしようとするとき
- [CryptCreateHash](/windows/desktop/api/wincrypt/nf-wincrypt-cryptcreatehash) を使用して擬似ランダム関数 (PRF) ハッシュ ハンドルの生成に失敗した場合
擬似ランダム関数 (PRF) とは
キー、ラベル、シードを入力として受け取り、任意の長さの出力を生成する関数。 詳細については、「 TLS 1.0 プロトコルでメッセージを完了する」を参照してください。
EAPHost はネットワーク アダプターにどのようにバインドされますか?
EAPHost を使用すると、複数のサプリカントを同時に操作でき、各サプリカントは複数のネットワーク アダプターにバインドできます。 EAPHost サプリカントは、ネットワーク レイヤーへのバインドを提供し、認証プロセスを推進します。 サプリカントには認証構成が含まれています。 サプリカントも状態を保存し、後続の接続セキュリティを提供します。 EAPHost はネットワーク メカニズムに直接バインドしないため、サプリカント機能拡張が可能です。