3. 概述 (Overview)
没有设备专用凭据的设备可以使用 NAI 格式的预定义配置标识符. NAI 包含 username 字段和 realm 字段. 该 realm 的选择独立于任何组织, 不会被 AAA 路由自动代理, 也不能通过动态发现解析.
3.1. eap.arpa Realm
eap.arpa realm 用于 EAP 内的配置. EAP-NOOB 中较早使用的 eap-noob.arpa 名称已弃用, 并由 @noob.eap.arpa 替代.
3.2. Realm 字段
eap.arpa 下的子域标识所请求的方法. 它必须遵循 RFC 7542 第 2.2 节的语法. 在可能的情况下, 第一个子域应当使用 EAP Method Type 名称. 供应商和 SDO 扩展使用隐式的 v. 子 realm, 例如 example.com.v.tls.eap.arpa 或 emu.ietf.org.v.eap.arpa.
3.3. Username 字段
username 取决于配置方法. username 可以为空. 不推荐使用 username anonymous.
3.4. 操作 (Operation)
EAP 对等方必须使用 EAP 配置标识符 (EAP Provisioning Identifiers) 注册表中的 EPI, 并且与该 NAI 一起使用的 EAP 方法必须匹配同一注册表条目中的 Method Type. 当选择配置方法时, 对等方禁止暴露 EAP 用户标识符的直接配置, 也禁止用用户输入的标识符检查 EPI 列表.
对等方必须跟踪尝试过的配置方法, 并且在收到 EAP Nak 后, 避免对同一 EAP 服务器重复使用同一方法. 对等方必须限制尝试速率, 应当每隔数分钟最多重试一次, 并且应当使用抖动 (jitter) 和指数退避 (exponential backoff). 在较长间隔后重试同一方法可能是合适的, 例如至少一天且不超过一个月.
EAP 服务器必须检查 eap.arpa realm 下的身份. 格式错误的 EPI 必须产生 EAP Failure. 未知 EPI 或不支持的方法必须产生类型零 (0) 的 EAP Nak. 被接受的配置必须使用与该 EPI 关联的 EAP 方法.
使用 EPI 的对等方必须被视为不可信. 认证后, 它们必须被放入有限网络, 并且禁止允许不受限制的访问. 实现必须防止有限网络中的对等方彼此通信.
3.5-3.7. 其他考量 (Other Considerations)
实现禁止允许使用配置凭据进行 EAP 方法协商. EAP Nak 必须只包含方法零 (0), 对等方必须忽略该 Nak 中的任何其他 EAP 方法. 禁止在 DNS 中查找 eap.arpa. 域中的名称.