IEEE готовит протокол EAP Over Ethernet

Установление полномочий удаленного пользователя не представляет трудности для администратора сети. Пользователь звонит на корпоративный телефонный узел, после этого звонок перенаправляется на сервер RADIUS, сервер запрашивает пароль и в случае получения правильного ответа предоставляет пользователю доступ к ресурсам локальной сети.

Однако обеспечить надежную аутентификацию пользователей, которые находятся в зоне, защищаемой межсетевым экраном, и подключаются к сети с помощью настольных ПК, совсем непросто.

Институт IEEE намерен предложить стандарт, который позволит реализовать аутентификацию как во внутренней локальной сети, как и при удаленном подключении. А поскольку в данном случае будут использоваться уже существующие стандартные технологии, новый протокол расширенной аутентификации Extensible Authentication Protocol Over Ethernet (EAPOE) помогает выполнять эту работу без установки на обычный настольный ПК дополнительного клиентского ПО.

Часть спецификаций протокола EAP позаимствована у широко распространенной технологии Point-to-Point Protocol (PPP), которая сегодня задействована в модемах большинства удаленных пользователей. Стандарт PPP, как правило, применяется для установления сетевых соединений типа «точка-точка». Спецификации PPP позволяют выполнить аутентификацию пользователей при помощи протоколов Password Authentication Protocol (PAP) и Challenge Handshake Authentication Protocol (CHAP). Оба они используются при обращении к центральному серверу, на котором работает служба Remote Authentication Dial-In User Service, отвечающая за проверку пользовательских паролей.

Одной из отличительных особенностей протокола PPP является как раз его расширяемость, в том числе, и наличие такого расширения, как Extensible Authentication Protocol (EAP). В то время как протоколы PAP и CHAP позволяют регистрировать лишь соединения «точка-точка», технология EAP поддерживает гораздо более широкий диапазон схем аутентификации.

Корни EAPOE

Чтобы предоставить пользователям современных локальных сетей новые функциональные возможности, разработчики спецификаций EAPOE «позаимствовали» EAP у транспортного механизма PPP, перенеся их на другую платформу — Ethernet.

Новые функции EAPOE активизируются после того, как порт коммутатора локальной сети Ethernet обнаруживает новое соединение. Коммутатор пересылает клиенту пакет EAPOE с сообщением, в котором содержится запрос на идентификацию (Request Identity). Подключаемое к сети оборудование (например, персональный компьютер) помещает свой уникальный идентификатор в поле данных EAPOE и отсылает пакет обратно на коммутатор.

После этого коммутатор включает информацию в сообщение EAP Access Request и передает ее на сервер RADIUS.

Для организации взаимодействия с серверами RADIUS пакет EAP не нужно преобразовывать в формат Ethernet, поскольку технология EAP (так же, как и PPP) может использовать в качестве транспортного механизма протокол RADIUS.

Сервер RADIUS пересылает сообщение Access Challenge обратно на коммутатор, запрашивая пароль для указанного идентификатора пользователя. Коммутатор включает данный запрос в пакет EAPOE и посылает его на клиентский ПК.

ПК вводит пароль и передает его в пакете EAPOE на коммутатор. Как правило, пароли пересылаются в зашифрованном виде (совместимость с ПО шифрования — еще одна важная особенность EAP, а следовательно, и EAPOE). Коммутатор помещает полученную информацию в пакет EAP Access Response и передает его на сервер RADIUS.

Если сервер RADIUS находит пользовательский идентификатор и пароль в своей базе данных, он посылает на коммутатор сообщение об успешном завершении проверки, после чего соответствующий порт переводится в активное состояние.

Если сеть не перегружена операциями ввода/вывода и поисковые механизмы базы данных работают быстро, вся процедура занимает не более одной секунды.

В ближайшее время рабочая группа IEEE приступит к определению окончательных спецификаций стандарта EAPOE. О поддержке данной технологии уже сегодня объявили компании 3Com, Cabletron, Extreme Networks, FORE Systems, Hewlett-Packard, Intel и Merit Network.