Zum Hauptinhalt springen

3.16. Extensible Authentication Protocol (EAP) Payload (EAP-Nutzdaten)

3.16. Extensible Authentication Protocol (EAP) Payload (EAP-Nutzdaten)

Das Extensible Authentication Protocol-Payload, in diesem Dokument als EAP bezeichnet, erlaubt die Authentifizierung von IKE-SAs mit dem in RFC 3748 [EAP] definierten Protokoll und späteren Erweiterungen. Bei EAP ist eine geeignete EAP-Methode auszuwählen. Viele Methoden wurden definiert und legen die Nutzung des Protokolls mit verschiedenen Authentifizierungsmechanismen fest. EAP-Methodentypen sind in [EAP-IANA] aufgeführt. Zur Klarheit folgt eine kurze Zusammenfassung des EAP-Formats.

                    1                   2                   3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Next Payload  |C|  RESERVED   |         Payload Length        |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
~                       EAP Message                             ~
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Abbildung 24: Format des EAP-Payloads

Der Nutzdatentyp für ein EAP-Payload ist achtundvierzig (48).

                    1                   2                   3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Code      | Identifier    |           Length              |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      | Type_Data...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

Abbildung 25: Format der EAP-Nachricht

  • Code (1 Oktett) - Gibt an, ob diese Nachricht Request (1), Response (2), Success (3) oder Failure (4) ist.

  • Identifier (1 Oktett) - Wird in PPP verwendet, um wiedergegebene von wiederholten Nachrichten zu unterscheiden. Da EAP in IKE über ein zuverlässiges Protokoll läuft, hat der Identifier hier keine Funktion. In einer Antwortnachricht MUSS dieses Oktett mit dem Kennzeichner der zugehörigen Anforderung übereinstimmen.

  • Length (2 Oktette, vorzeichenlose Ganzzahl) - Die Länge der EAP-Nachricht. MUSS um vier kleiner sein als die Payload Length des kapselnden Payloads.

  • Type (1 Oktett) - Nur vorhanden, wenn Code Request (1) oder Response (2) ist. Bei anderen Codes MUSS die EAP-Nachrichtenlänge vier Oktette betragen, und die Felder Type und Type_Data DÜRFEN nicht vorhanden sein. Bei Request (1) gibt Type die angeforderten Daten an. Bei Response (2) MUSS Type entweder Nak sein oder mit dem Typ der angeforderten Daten übereinstimmen. Da IKE in der ersten Nachricht des IKE_AUTH-Austauschs eine Angabe zur Identität des Initiators übermittelt, SOLLTE der Responder keine EAP-Identity-Requests (Typ 1) senden. Der Initiator KANN jedoch auf solche Anfragen antworten, wenn er sie erhält.

  • Type_Data (variable Länge) - Hängt vom Typ der Request und der zugehörigen Response ab. Zur Dokumentation der EAP-Methoden siehe [EAP].

Da IKE in der ersten Nachricht des IKE_AUTH-Austauschs eine Angabe zur Identität des Initiators übermittelt, SOLLTE der Responder keine EAP-Identity-Requests senden. Der Initiator KANN jedoch auf solche Anfragen antworten, wenn er sie erhält.

Letztes Update am