O tópico a seguir fornece respostas para perguntas frequentes sobre as APIs EAPHost.
O que é um suplicante?
O supplicante é a entidade a ser autenticada usando EAPHost. Supplicantes típicos são clientes 802.1X , clientes 802.3 e RRAS (Serviço de Roteamento e Acesso Remoto), clientes PPP (ponto a ponto).
O que é um par?
O par é o lado do cliente de uma autenticação EAP.
Como um par difere de um suplicante?
O supplicante transporta pacotes, enquanto um par não. No entanto, os termos peer, supplicant e client são em grande parte sinônimos.
O que é um autenticador?
O autenticador é o ponto de acesso sem fio, o NAS (servidor de acesso à rede) ou o NAD (dispositivo de acesso à rede) que autentica o supplicante. O autenticador também é conhecido como o servidor EAP.
Qual é o tempo de vida de uma autenticação?
O tempo de vida de uma única sessão de autenticação no lado do cliente é tudo o que ocorre entre as funções EapHostPeerBeginSession e EapHostPeerEndSession que estão sendo chamadas. O tempo de vida no lado do autenticador é tudo o que ocorre entre as funções EapPeerBeginSession e EapPeerEndSession .
O que é um BLOB? Por que eu converteria um BLOB de configuração (binário) em XML?
Um BLOB é um objeto binário grande. O XML tem várias vantagens em relação a um BLOB de configuração binária. Os dados de configuração armazenados em XML são legíveis por humanos, editáveis por humanos e multiplataforma.
Quando converter um BLOB XML armazenado novamente em um BLOB binário?
É possível armazenar um BLOB binário ou BLOB XML, mas você sempre deve converter o BLOB XML de volta em um BLOB binário antes de usar com APIs em tempo de execução; as APIs em tempo de execução não podem aceitar um diretório XML.
O que são métodos nativos?
Os métodos EAP nativos usam a nova API EAPHost.
O que são métodos herdados?
Os métodos EAP herdados são definidos na Referência do Protocolo de Autenticação Extensível. Os métodos EAP herdados estão disponíveis para uso no Windows Vista e no Windows Server 2008. Esses métodos podem não estar disponíveis para uso em versões subsequentes do sistema operacional.
Qual é a diferença entre métodos herdados e nativos?
As APIs nativas são mais simples e têm menos recursos. Todos os novos métodos EAP devem ser gravados usando a API EAPHost.
O que é "política de grupo"?
Para obter uma descrição da política de grupo, consulte Coleção Política de Grupo.
As funções EAPHost podem substituir a política de configuração especificada pela política de grupo?
Não, nunca. Se a política de grupo estiver em uso, as configurações de política de grupo sempre substituirão as definições de configuração do EAPHost.
O que é SSO (logon único)?
O 802.1X é um mecanismo de autenticação de camada 2. Dependendo da configuração de SSO, o SSO permite que os usuários se autentiquem na rede usando a autenticação 802.1X antes ou imediatamente após o logon no Windows. O SSO pode ser configurado para usar credenciais do Windows para autenticação de rede (nesse caso, os usuários inserem suas credenciais apenas uma vez) ou usar credenciais diferentes para o Windows e a autenticação de rede. Para obter mais informações, consulte SSO e PLAP.
O que é o PLAP (Provedor de Acesso de Pré-Logon)
Para obter mais informações, consulte SSO e PLAP.
O que é o PEAP (Protected Extensible Authentication Protocol)?
Para obter mais informações, consulte PEAP e Sobre o Protocolo de Autenticação Extensível.
Como o PEAP lida com a retomada e a nova autenticação da sessão?
A retomada e a nova autenticação de sessão normalmente ocorrem durante o roaming em uma rede sem fio. A API de Proteção de Dados do Windows (DPAPI) fornece uma maneira de proteger e associar dados a um usuário e, opcionalmente, à sessão de logon. O chamador fornece a CryptProtectMemory um buffer não criptografado e o DPAPI criptografará a memória em vigor. Posteriormente, o chamador pode passar o buffer criptografado para CryptUnprotectMemory e o DPAPI descriptografará a memória, novamente em vigor. Para obter mais informações, consulte TSL/IA (Extensão de Aplicativo Interno do TLS) e PEAP.
O que é a EAP-TLS (segurança em nível de EAP-Transport)?
O EAP-TLS é um protocolo cliente-servidor no qual perfis de certificado distintos normalmente são usados para o cliente e o servidor. Para obter mais informações, consulte IETF RTC 2716.
Como fazer implementar uma alteração de senha usando a API da LSA (Autoridade de Segurança Local)?
Use a função LsaCallAuthenticationPackage para implementar uma alteração de senha.
Por que eu gostaria de habilitar o rastreamento no EAPHost?
Os logs de rastreamento contêm informações de depuração (disponíveis somente em inglês) que podem ajudar desenvolvedores e parceiros da Microsoft a encontrar as causas raiz de quaisquer problemas que estão sendo enfrentados com o processo de autenticação. Para obter mais informações, consulte Habilitando o rastreamento.
Por que encontro o código de erro NTE_BAD_KEY_STATE (0x8009000BL) ao usar a API de Criptografia para entrar na troca EAP-TLS?
Em Winerror.h NTE_BAD_KEY_STATE (0x8009000BL) é definido como uma "chave não válida para uso no estado especificado". Esse erro normalmente é retornado nos cenários a seguir.
- Ao tentar exportar um BLOB de chave privada não exportável
- Ao tentar sem êxito gerar um identificador de hash prf (função pseudo-aleatória) usando [CryptCreateHash](/windows/desktop/api/wincrypt/nf-wincrypt-cryptcreatehash)
O que é uma PRF (função pseudo aleatória)?
Uma função que usa uma chave, um rótulo e uma semente como entrada e, em seguida, produz uma saída de comprimento arbitrário. Para obter mais informações, consulte Concluir mensagens no protocolo TLS 1.0.
Como o EAPHost se associa aos adaptadores de rede?
O EAPHost permite que vários suplicadores operem simultaneamente, e cada suplicante pode se associar a vários adaptadores de rede. Os supplicantes EAPHost fornecem associação às camadas de rede e impulsionam o processo de autenticação. Os supplicantes contêm a configuração de autenticação. Os supplicantes também salvam o estado e fornecem segurança de conexão subsequente. Como o EAPHost não se associa diretamente a nenhum mecanismo de rede, a extensibilidade suplicável é possível.