802.1x: Zugriffskontrolle im LAN und WLAN-Netzwerk

So funktioniert EAP

Das EAP fordert den Benutzer auf, sich zu authentifizieren. Seine Authentisierungsinformationen werden zunächst an den Port beziehungsweise den Authenticator weitergeleitet. Sobald dieser die Daten empfangen hat, leitet er sie an einen Autorisierung- und Accounting-Server, im Normalfall einen Radius-Server, weiter. Dieser identifiziert anhand der hinterlegten Benutzerprofile den User, das heißt, er entscheidet, ob der User Zugriff auf die angefragten Services erhält.

In einigen Fällen übernimmt der Radius-Server die Authentifizierung nicht selbst, sondern leitet die Daten an eine weitere Authentifizierungseinheit weiter, im Normalfall an einen Verzeichnisdienst (LDAP-Server, Directory Server). Im Falle einer nicht erfolgreichen Authentifizierung bekommt der Authenticator eine entsprechende Information, die dafür sorgt, dass der Port nicht aktiviert wird, also den Modus Authentication on/Port off einnimmt, beziehungsweise das Standard- Systemverhalten beibehält (Authentication on/Port on with Default Policy). In beiden Fällen erhält der Benutzer keinen Zugriff auf die angefragten Services.

Wenn dagegen die Authentifizierung erfolgreich verläuft, wird die entsprechende Meldung, die der Radius-Server an den Switch oder Access Point zurücksendet, mit der Funktionsbezeichnung "Radius/EAP Success" versehen. Der Authenticator schaltet danach sofort den entsprechenden Port für den uneingeschränkten Datentransport frei.