Use este procedimiento para configurar un perfil Protocolo de autenticación extensible con Seguridad de la capa de transporte (EAP-TLS) para autenticación que usa tarjetas inteligentes u otros certificados.

El mínimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o un grupo equivalente.

Para configurar un perfil EAP-TLS para conexiones con cable
  1. En la ficha General, realice las acciones siguientes:

    1. En Nombre de directiva, escriba un nombre para la directiva de red cableada.

    2. En Descripción, escriba una descripción breve de la directiva.

    3. Confirme la selección de Usar el servicio de configuración automática de redes cableadas de Windows para clientes.

    4. Para permitir que los usuarios con equipos que ejecutan Windows 7 especifiquen y almacenen sus credenciales de dominio (nombre de usuario y contraseña), que el equipo puede usar a continuación para iniciar una sesión en la red (incluso aunque el usuario no haya iniciado una sesión de manera activa), en Configuración de directivas de Windows 7, seleccione Habilitar credenciales explícitas.

    5. Para especificar la duración para la que se prohíbe que los equipos que ejecutan Windows 7 realicen intentos de conexión automática a la red, seleccione Habilitar período de bloqueo y, a continuación, en Período de bloqueo (minutos), especifique el número de minutos para los que desea aplicar el período de bloqueo. El intervalo válido de minutos es 1-60.

      Nota

      Para obtener más información acerca de la configuración de una ficha, presione F1 cuando esté viendo esa ficha.

  2. En la ficha Seguridad, haga lo siguiente:

    1. Seleccione Habilitar el uso de la autenticación IEEE 802.1X para el acceso a la red.

    2. En Seleccione un método de autenticación de red, seleccione Tarjeta inteligente u otro certificado.

    3. En Modo de autenticación, seleccione entre lo siguiente, según sus necesidades: Autenticación de usuarios y equipos, Autenticación de equipos, Autenticación del usuario, Autenticación de invitados. De manera predeterminada, la opción Autenticación de usuarios y equipos está seleccionada.

    4. En Nº máximo de errores de autenticación, especifique el número máximo de intentos incorrectos que se permiten antes de notificar al usuario el error de autenticación. De forma predeterminada, el valor se establece en “1”.

    5. Para especificar que las credenciales de usuario se guardan en la memoria caché, seleccione Almacenar en caché información de usuario sobre conexiones posteriores a esta red.

  3. Para configurar el inicio de sesión único o la configuración 802.1X avanzada, haga clic Opciones avanzadas. En la ficha Opciones avanzadas, haga lo siguiente:

    1. Para establecer la configuración 802.1X avanzada, seleccione Aplicar configuración 802.1X avanzada y, a continuación, según sea necesario, modifique la configuración de: Nº máximo de mensajes EAPOL-Start, Período de retención, Período de inicio, Período de autenticación y Mensaje EAPOL-Start.

    2. Para configurar el inicio de sesión único, seleccione Habilitar Inicio de sesión único en esta red y, a continuación, según sea necesario, modifique la configuración de:

      • Realizar inmediatamente antes de que el usuario inicie sesión

      • Realizar inmediatamente después de que el usuario inicie sesión

      • Retraso máximo para conectividad

      • Permitir cuadros de diálogo adicionales durante el inicio de sesión único

      • Esta red usa diferentes VLAN para autenticarse con credenciales de equipo y de usuario

  4. Haga clic en Aceptar. Se cierra el cuadro de diálogo Configuración de seguridad avanzada y se regresará a la ficha Seguridad. En la ficha Seguridad, haga clic en Propiedades. Se abre el cuadro de diálogo Propiedades de tarjeta inteligente u otros certificados.

  5. En el cuadro de diálogo Propiedades de tarjeta inteligente u otros certificados, haga lo siguiente:

    1. En Al conectar, seleccione Usar mi tarjeta inteligente o bien, seleccione Usar un certificado en este equipo y Usar selección de certificado simple (recomendado).

    2. Seleccione Validar un certificado de servidor.

    3. Para especificar qué servidores RADIUS (Servicio de autenticación remota telefónica de usuario) deben usar sus clientes de acceso inalámbrico para autenticación y autorización, en Conectar a estos servidores, escriba el nombre de cada servidor RADIUS, de la misma manera en la que aparece en el campo del sujeto del certificado del servidor. Use puntos y coma para especificar varios nombres de servidores RADIUS.

    4. En Entidades de certificación raíz de confianza, seleccione la entidad de certificación (CA) raíz de confianza que emitió el certificado del servidor para el servidor que ejecuta el Servidor de directivas de redes (NPS).

      Nota

      Esta configuración limita las entidades de certificación raíz de confianza en las que confían los clientes a los valores seleccionados. Si no se selecciona ninguna CA raíz de confianza, los clientes confiarán en todas las CA raíz de confianza de su almacén de entidades de certificación raíz de confianza.

    5. Para especificar que los clientes usen un nombre alternativo para el intento de acceso, seleccione Usar un nombre de usuario distinto para la conexión.

    6. Para obtener una mejora en la seguridad y en la experiencia de usuario, seleccione No pedir la intervención del usuario para autorizar nuevos servidores o entidades de certificación de confianza.

    7. Haga clic en Aceptar para guardar la configuración de Propiedades de tarjeta inteligente u otros certificados. Haga clic en Aceptar de nuevo para regresar al cuadro de diálogo de propiedades de nueva directiva de red cableada.


Tabla de contenido