4. 与 EAP 方法的交互 (Interaction with EAP Methods)
基于密码的 EAP 方法在需要密码时应当使用配置标识符作为密码. 具有内部身份或内部密码的基于 TLS 的 EAP 方法也应当将配置标识符用于这些内部凭据.
推荐通过基于 TLS 的 EAP 方法进行配置, 因为 TLS 可以认证 EAP 服务器并保护配置数据. eap.arpa. 下的每种配置方法都必须定义认证服务器的方式.
除非配置方法专门定义了配置场景, 基于 TLS 的 EAP 方法必须继续验证 EAP 服务器证书. 如果配置通过其他协议完成, 例如 HTTPS, 对等方可以跳过 EAP 服务器证书验证, 但必须将本地网络视为不可信.
4.2. EAP-TLS
RFC 9965 定义 [email protected], 用于未认证 EAP-TLS 请求强制门户访问. 对等方未认证访问仍然必须认证 EAP 服务器, 例如使用服务器证书. 使用众所周知 PSK 的 TLS-PSK 通常不合适, 因为它不提供服务器认证.
4.3. EAP-NOOB
推荐 EAP-NOOB 服务器同时接受 [email protected] 和 @noob.eap.arpa 作为同义名称. 推荐 EAP-NOOB 对等方先尝试 @noob.eap.arpa, 然后再尝试 [email protected].