Если EAP-TTLS - это метод EAP, который устанавливает туннель TLS, что происходит в туннеле? Это может быть другой метод EAP, но также может быть PAP. Что решает? Сервер, проситель или они как-то договариваются? Как работает эта фаза протокола?
Он решает, о чем могут говорить клиенты. Это выполняется на последнем шаге фазы 1 в EAP, а именно ChangeCipherSpec.
Простой пример: клиент хочет пройти аутентификацию и может говорить только PAP, тогда сервер выберет PAP, потому что сам сервер также может говорить PAP. Если клиент может говорить по другим «протоколам», будет использоваться наиболее безопасный протокол.