Use este procedimiento para configurar un perfil de Protocolo de autenticación extensible protegido con el Protocolo de autenticación por desafío mutuo versión 2 de Microsoft (PEAP-MS-CHAP v2) para autenticación de cliente usando contraseñas seguras.

El mínimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o un grupo equivalente.

Para configurar un perfil para conexiones cableadas PEAP-MS-CHAP v2
  1. En la ficha General, realice las acciones siguientes:

    1. En Nombre de directiva, escriba un nombre para la directiva de red cableada.

    2. En Descripción, escriba una descripción breve de la directiva.

    3. Confirme la selección de Usar el servicio de configuración automática de redes cableadas de Windows para clientes.

    4. Para permitir que los usuarios con equipos que ejecutan Windows 7 especifiquen y almacenen sus credenciales de dominio (nombre de usuario y contraseña), que el equipo puede usar a continuación para iniciar una sesión en la red (incluso aunque el usuario no haya iniciado una sesión de manera activa), en Configuración de directivas de Windows 7, seleccione Habilitar credenciales explícitas.

    5. Para especificar la duración para la que se prohíbe que los equipos que ejecutan Windows 7 realicen intentos de conexión automática a la red, seleccione Habilitar período de bloqueo y, a continuación, en Período de bloqueo (minutos), especifique el número de minutos para los que desea aplicar el período de bloqueo. El intervalo válido de minutos es 1-60.

      Nota

      Para obtener más información acerca de la configuración de una ficha, presione F1 cuando esté viendo esa ficha.

  2. En la ficha Seguridad, haga lo siguiente:

    1. Seleccione Habilitar el uso de la autenticación IEEE 802.1X para el acceso a la red.

    2. En Seleccione un método de autenticación de red, seleccione Microsoft: EAP protegido (PEAP).

    3. En Modo de autenticación, seleccione entre lo siguiente, según sus necesidades: Autenticación de usuarios y equipos, Autenticación de equipos (recomendado), Autenticación del usuario, Autenticación de invitados. De manera predeterminada, la opción Autenticación de usuarios y equipos está seleccionada.

    4. En Nº máximo de errores de autenticación, especifique el número máximo de intentos incorrectos que se permiten antes de notificar al usuario el error de autenticación. De forma predeterminada, el valor se establece en “1”.

    5. Para especificar que las credenciales de usuario se guardan en la memoria caché, seleccione Almacenar en caché información de usuario sobre conexiones posteriores a esta red.

  3. Para configurar el inicio de sesión único o la configuración 802.1X avanzada, haga clic Opciones avanzadas. En la ficha Opciones avanzadas, haga lo siguiente:

    1. Para establecer la configuración 802.1X avanzada, seleccione Aplicar configuración 802.1X avanzada y, a continuación, según sea necesario, modifique la configuración de: Nº máximo de mensajes EAPOL-Start, Período de retención, Período de inicio, Período de autenticación y Mensaje EAPOL-Start.

    2. Para configurar el inicio de sesión único, seleccione Habilitar Inicio de sesión único en esta red y, a continuación, según sea necesario, modifique la configuración de:

      • Realizar inmediatamente antes de que el usuario inicie sesión

      • Realizar inmediatamente después de que el usuario inicie sesión

      • Retraso máximo para conectividad

      • Permitir cuadros de diálogo adicionales durante el inicio de sesión único

      • Esta red usa diferentes VLAN para autenticarse con credenciales de equipo y de usuario

  4. Haga clic en Aceptar. Se cierra el cuadro de diálogo Configuración de seguridad avanzada y se regresará a la ficha Seguridad. En la ficha Seguridad, haga clic en Propiedades. Se abre el cuadro de diálogo Propiedades de EAP protegido.

  5. En el cuadro de diálogo Propiedades de EAP protegido, realice una de las acciones siguientes:

    1. Seleccione Validar un certificado de servidor.

    2. Para especificar qué servidores RADIUS (Servicio de autenticación remota telefónica de usuario) deben usar sus clientes de acceso inalámbrico para autenticación y autorización, en Conectar a estos servidores, escriba el nombre de cada servidor RADIUS, de la misma manera en la que aparece en el campo del sujeto del certificado de servidor. Use puntos y coma para especificar varios nombres de servidores RADIUS.

    3. En Entidades de certificación raíz de confianza, seleccione la entidad de certificación (CA) raíz de confianza que emitió el certificado del servidor para el servidor que ejecuta el Servidor de directivas de redes (NPS).

      Nota

      Esta configuración limita las entidades de certificación raíz de confianza en las que confían los clientes a los valores seleccionados. Si no se selecciona ninguna CA raíz de confianza, los clientes confían en todas las CA raíz de confianza de su almacén de entidades de certificación raíz de confianza.

    4. Para obtener una mejora en la seguridad y en la experiencia de usuario, seleccione No pedir la intervención del usuario para autorizar nuevos servidores o entidades de certificación de confianza.

    5. En Seleccionar el método de autenticación, seleccione Contraseña segura (EAP-MSCHAP v2).

    6. Para especificar que la reconexión rápida PEAP esté habilitada, seleccione Habilitar reconexión rápida.

    7. Para especificar que Protección de acceso a redes (NAP) lleva a cabo la comprobaciones de estado del sistema en clientes para asegurar que cumplen los requisitos de estado, antes de que se permitan conexiones a la red, seleccione Aplicar Protección de acceso a redes.

    8. Para requerir Tipo-longitud-valor (TLV) de cryptobinding, seleccione Desconectar si servidor no presenta TLV con enlace de cifrado.

    9. Para configurar los clientes para que no envíen su identidad en texto simple antes de que el cliente haya autenticado el servidor RADIUS, seleccione Habilitar privacidad de identidad y, a continuación, en Identidad anónima, escriba un nombre o valor, o deje el campo vacío.

      Por ejemplo, si Habilitar privacidad de identidad está habilitado, y usa “invitado” como el valor de identidad anónima, la respuesta de identidad para un usuario con identidad alice@territorio es invitado@territorio. Si selecciona Habilitar privacidad de identidad, pero no proporciona un valor de identidad anónimo, la respuesta de identidad es @territorio.

    10. Haga clic en Aceptar para guardar la configuración de Propiedades de EAP protegido y, a continuación, haga clic en Aceptar de nuevo para guardar la directiva.


Tabla de contenido