В следующем разделе приведены ответы на часто задаваемые вопросы об API EAPHost.
Что такое просители?
Запрашивающий — это сущность, для проверки подлинности с помощью EAPHost. Типичными просители являются клиенты 802.1X , клиенты 802.3, а также клиенты службы маршрутизации и удаленного доступа (RRAS), клиенты типа "точка — точка" (PPP).
Что такое одноранговый элемент?
Одноранговый узел является клиентской стороной проверки подлинности EAP.
Чем сверстник отличается от просителя?
Запрашивающий объект транспортирует пакеты, а одноранговый узел — нет. Тем не менее, термины peer, supplicant и client в значительной степени синонимы.
Что такое средство проверки подлинности?
Средство проверки подлинности — это точка беспроводного доступа, сервер сетевого доступа (NAS) или устройство доступа к сети (NAD), которое выполняет проверку подлинности запрашивающего. Средство проверки подлинности также называется сервером EAP.
Каково время существования проверки подлинности?
Время существования одного сеанса проверки подлинности на стороне клиента — это все, что происходит между вызовом функций EapHostPeerBeginSession и EapHostPeerEndSession . Время существования на стороне authenticator — это все, что происходит между функциями EapPeerBeginSession и EapPeerEndSession .
Что такое большой двоичный объект? Зачем преобразовывать большой двоичный объект конфигурации в XML?
Большой двоичный объект — это большой двоичный объект. XML имеет несколько преимуществ по сравнению с BLOB-объектом двоичной конфигурации. Данные конфигурации, хранящиеся в XML, являются удобочитаемыми, редактируемыми человеком и кроссплатформенными.
Когда следует преобразовать сохраненный XML-BLOB обратно в двоичный BLOB-объект?
Можно хранить двоичный BLOB-объект или XML BLOB, но перед использованием с API-интерфейсами времени выполнения его всегда необходимо преобразовать обратно в двоичный BLOB. API-интерфейсы времени выполнения не могут принимать КАТАЛОГ XML.
Что такое собственные методы?
Собственные методы EAP используют новый API EAPHost.
Что такое устаревшие методы?
Устаревшие методы EAP определяются в справочнике по протоколам расширенной проверки подлинности. Устаревшие методы EAP доступны для использования в Windows Vista и Windows Server 2008. Эти методы могут быть недоступны для использования в последующих версиях операционной системы.
В чем разница между устаревшими и собственными методами?
Собственные API проще и имеют меньше возможностей. Все новые методы EAP должны быть написаны с помощью API EAPHost.
Что такое групповая политика?
Описание групповой политики см. в разделе Коллекция групповая политика.
Могут ли функции EAPHost переопределять политику конфигурации, заданную групповой политикой?
Нет, никогда. Если используется групповая политика, параметры групповой политики всегда будут переопределять параметры конфигурации EAPHost.
Что такое единый вход?
802.1X — это механизм проверки подлинности уровня 2. В зависимости от конфигурации единого входа единый вход позволяет пользователям проходить проверку подлинности в сети с помощью проверки подлинности 802.1X до или сразу после входа в Windows. Единый вход можно настроить для использования учетных данных Windows для проверки подлинности сети (в этом случае пользователи вводят свои учетные данные только один раз) или использовать другие учетные данные для проверки подлинности Windows и сети. Дополнительные сведения см. в разделе Единый вход и PLAP.
Что такое поставщик доступа перед входом (PLAP)
Дополнительные сведения см. в разделе Единый вход и PLAP.
Что такое защищенный протокол РАСШИРЕННОЙ проверки подлинности (PEAP)?
Дополнительные сведения см. в разделах PEAP и Сведения о протоколе расширяемой проверки подлинности.
Как PEAP работает с возобновлением сеанса и повторной проверкой подлинности?
Возобновление сеанса и повторная проверка подлинности обычно происходят в роуминге по беспроводной сети. API Защиты данных Windows (DPAPI) предоставляет способ защиты и привязки данных к пользователю и при необходимости сеанса входа. Вызывающий объект предоставляет CryptProtectMemory незашифрованный буфер, а DPAPI шифрует память на месте. Позже вызывающий объект может передать зашифрованный буфер в CryptUnprotectMemory , и DPAPI расшифрует память еще раз на месте. Дополнительные сведения см. в разделах Расширение внутреннего приложения TLS (TSL/IA) и PEAP.
Что такое безопасность на уровне EAP-Transport (EAP-TLS)?
EAP-TLS — это протокол клиента и сервера, в котором для клиента и сервера обычно используются отдельные профили сертификатов. Дополнительные сведения см. в разделе IETF RTC 2716.
Разделы справки реализовать изменение пароля с помощью API локального центра безопасности (LSA)?
Используйте функцию LsaCallAuthenticationPackage для реализации изменения пароля.
Зачем включать трассировку в EAPHost?
Журналы трассировки содержат отладочную информацию (доступную только на английском языке), которая может помочь разработчикам и партнерам Корпорации Майкрософт найти первопричины любых проблем, возникающих в процессе проверки подлинности. Дополнительные сведения см. в разделе Включение трассировки.
Почему при входе в exchange EAP-TLS с помощью API шифрования возникает ошибка с кодом NTE_BAD_KEY_STATE (0x8009000BL)?
В Winerror.h NTE_BAD_KEY_STATE (0x8009000BL) определяется как "ключ недействителен для использования в указанном состоянии". Эта ошибка обычно возвращается в следующих сценариях.
- При попытке экспортировать неэкспортируемый большой двоичный объект закрытого ключа
- При неудачной попытке создать дескриптор хэширования псевдослучайной функции (PRF) с помощью [CryptCreateHash](/windows/desktop/api/wincrypt/nf-wincrypt-cryptcreatehash)
Что такое псевдослучайная функция (PRF)?
Функция, которая принимает ключ, метку и начальное значение в качестве входных данных, а затем создает выходные данные произвольной длины. Дополнительные сведения см. в разделе Завершение сообщений в протоколе TLS 1.0.
Как EAPHost привязывается к сетевым адаптерам?
EAPHost позволяет нескольким проситетелям работать одновременно, и каждый из них может привязаться к нескольким сетевым адаптерам. Просители EAPHost обеспечивают привязку к сетевым уровням и управляют процессом проверки подлинности. Запрашивающие элементы содержат конфигурацию проверки подлинности. Просители также сохраняют состояние и обеспечивают безопасность последующего подключения. Так как EAPHost не привязывается напрямую к какому-либо сетевому механизму, возможна запрашиваемая расширяемость.