Tento postup slouží ke konfiguraci bezdrátových konfiguračních profilů protokolu PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol verze 2) pro bezdrátové počítače se systémy Windows XP a Windows Server 2003.

Minimálním požadavkem k provedení tohoto postupu je členství ve skupině Domain Admins nebo ekvivalentní oprávnění.

Konfigurace bezdrátového profilu protokolu PEAP-MS-CHAP v2 pro počítače se systémy Windows XP
  1. Otevřete dialogové okno Zásady bezdrátové sítě (IEEE 802.11) systému Windows XP - vlastnosti.

    Na kartě Obecné proveďte tyto akce:

    1. Do pole Název zásady systému XP zadejte název pro zásadu bezdrátové sítě.

    2. Do pole Popis zadejte popis zásady.

    3. V poli Sítě pro přístup vyberte možnost Všechny sítě k dispozici (upřednostňované přístupové body) nebo Pouze sítě přístupových bodů (infrastruktura).

    4. Zaškrtněte políčko Používat pro klienty službu automatické konfigurace bezdrátové sítě systému Windows.

  2. Na kartě Upřednostňované sítě klikněte na tlačítko Přidat a potom vyberte možnost Infrastruktura. Na kartě Vlastnosti sítě nakonfigurujte následující nastavení:

    1. Do pole Síťový název (SSID) zadejte identifikátor sítě SSID (Service Set Identifier).

      Poznámka

      Zadaná hodnota musí odpovídat hodnotě nakonfigurované na přístupových bodech nasazených v síti.

    2. Do pole Popis zadejte popis pro Nové upřednostňované nastavení - vlastnosti.

    3. Pokud jste nasadili bezdrátové přístupové body, které jsou nakonfigurovány tak, aby potlačovaly signál vysílání, zaškrtněte políčko Připojit, i když síť právě nevysílá.

      Zabezpečení - Poznámka

      Povolením této možnosti může dojít k ohrožení zabezpečení, protože bezdrátoví klienti se pokusí o připojení k libovolné bezdrátové síti. Ve výchozím nastavení tato možnost není povolena.

    4. Ve skupině Vybrat metody zabezpečení pro tuto síť vyberte pro položku Ověřování buď možnost WPA2 (upřednostňováno), nebo WPA. V části Šifrování vyberte možnost AES nebo TKIP.

      Poznámka

      Nastavením WPA2 a WPA v zásadách bezdrátové sítě (IEEE 802.11) systému Windows XP odpovídají v zásadách bezdrátové sítě (IEEE 802.11) systému Windows Vista nastavení WPA2-podnikové a WPA-podnikové. Možnost WPA-PSK a WPA2-PSK slouží pro sítě, které nepoužívají ověřování podle standardu 802.1X. Nepoužívejte ji k nasazení v případech, kdy se používá ověřování bezdrátového přístupu podle standardu 802.1X.

      Poznámka

      Vyberete-li možnost WPA2, zobrazí se nastavení pro Rychlý roaming, které není zobrazeno, pokud je vybrána možnost WPA. Výchozí nastavení pro Rychlý roaming je postačující pro většinu nasazení bezdrátových sítí.

  3. Klikněte na kartu IEEE 802.1X. Jako Typ protokolu EAP je ve výchozím nastavení vybrána možnost Protokol PEAP (Protected EAP).

    Zbývající výchozí nastavení na kartě IEEE 802.1X jsou postačující pro většinu nasazení bezdrátových sítí.

  4. Klikněte na příkaz Nastavení. V dialogovém okně Vlastnosti protokolu Protected EAP proveďte následující akce:

    1. Zaškrtněte políčko Ověřit certifikát serveru.

    2. Chcete-li určit, které servery RADIUS (Remote Authentication Dial-In User Service) budou muset klienti s drátovým přístupem používat k ověřování a autorizaci, zaškrtněte políčko Připojit k těmto serverům a zadejte název každého požadovaného serveru RADIUS přesně tak, jak je uveden v poli subjektu certifikátu serveru. Jednotlivé názvy serverů RADIUS oddělujte středníkem.

    3. V části Důvěryhodné kořenové certifikační autority vyberte důvěryhodnou kořenovou certifikační autoritu (CA), která vydala certifikát serveru pro váš server NPS (Network Policy Server).

      Poznámka

      Toto nastavení vymezuje, které kořenové certifikační autority jsou pro klienty důvěryhodné. Nejsou-li vybrány žádné důvěryhodné kořenové certifikační autority, budou klienti důvěřovat všem důvěryhodným kořenovým certifikačním autoritám ve svém úložišti důvěryhodných kořenových certifikačních autorit.

    4. Chcete-li zlepšit zabezpečení a zjednodušit uživatelské rozhraní, zaškrtněte políčko Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů.

    5. V seznamu Vyberte metodu ověřování vyberte položku Zabezpečené heslo (EAP-MSCHAP v2).

    6. Chcete-li povolit rychlé obnovení připojení protokolu PEAP, zaškrtněte políčko Povolit rychlé obnovení připojení.

    7. Chcete-li vyžadovat, aby architektura NAP (Network Access Protection) kontrolovala stav klientů a zjišťovala, zda splňují požadavky na stav, předtím, než jim bude povoleno připojení k síti, zaškrtněte políčko Vynutit architekturu NAP (Network Access Protection).

    8. Chcete-li vyžadovat hodnotu TLV (Type-Length-Value) kryptografických vazeb, zaškrtněte políčko Odpojit, nenabízí-li server metodu kryptovazeb TLV.

    9. Chcete-li nakonfigurovat klienty tak, aby do doby, dokud neověří server RADIUS, neodesílali svou identitu v nezašifrované podobě, zaškrtněte políčko Povolit osobní údaje identity a zadejte do pole Anonymní identita jméno či hodnotu nebo ponechte toto pole prázdné.

      Je-li například políčko Povolit osobní údaje identity zaškrtnuté a jako anonymní identitu použijete hodnotu guest, bude odpovědí identity pro uživatele s identitou alice@realm toto: guest@realm. Pokud políčko Povolit osobní údaje identity zaškrtnete, ale nezadáte hodnotu anonymní identity, bude odpověď identity tato: @realm.

  5. Kliknutím na tlačítko OK uložte nastavení v okně Vlastnosti protokolu Protected EAP a potom opět kliknutím na tlačítko OK zásadu uložte.


Obsah