Utilisez cette procédure pour configurer un profil PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security), pour l’authentification à l’aide de cartes à puce ou autres certificats.

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Admins du domaine ou à un groupe équivalent.

Pour configurer un profil sans fil PEAP-TLS pour les ordinateurs qui exécutent Windows 7 et Windows Vista
  1. Ouvrez la boîte de dialogue Propriétés de Nouvelle stratégie de réseau sans fil (IEEE 802.11).

  2. Sous l’onglet Général, dans Nom de la stratégie, tapez un nouveau nom pour la stratégie ou conservez le nom par défaut.

  3. Dans la zone Description, tapez une description de la stratégie.

  4. Sélectionnez Utiliser Windows pour configurer les paramètres réseau sans fil pour les clients pour spécifier que le Service de configuration automatique WLAN est utilisé pour configurer les paramètres de carte réseau sans fil.

  5. Sur l’onglet Général, effectuez l’une des actions suivantes :

    • Pour ajouter et configurer un nouveau profil, cliquez sur Ajouter, puis sélectionnez Infrastructure.

    • Pour modifier un profil, sélectionnez-le, puis cliquez sur Modifier.

  6. Sur l’onglet Connexion, dans la zone Nom de profil, si vous ajoutez un nouveau profil, tapez un nom pour ce profil. Si vous modifiez un profil déjà ajouté, utilisez le nom de profil existant ou modifiez le nom comme nécessaire.

  7. Dans Nom(s) réseau (SSID), tapez l’identificateur SSID de vos points d’accès sans fil, puis cliquez sur Ajouter.

    Si votre déploiement utilise plusieurs SSID et que tous les points d’accès sans fil utilisent les mêmes paramètres de sécurité sans fil, répétez cette étape pour ajouter le SSID pour chaque point d’accès sans fil auquel vous souhaitez que ce profil s’applique.

    Si votre déploiement utilise plusieurs SSID et que les paramètres de sécurité de chaque SSID ne correspondent pas, configurez un profil distinct pour chaque groupe de SSID qui utilisent les mêmes paramètres de sécurité. Par exemple, si vous avez un groupe de points d’accès sans fil configuré pour utiliser WPA2-Enterprise et AES, et un autre groupe de points d’accès sans fil configuré pour utiliser WPA-Enterprise et TKIP, configurez un profil pour chaque groupe de points d’accès sans fil.

  8. Pour spécifier que les clients sans fil se connectent automatiquement aux points d’accès sans fil pour lesquels le SSID est spécifié dans Nom(s) réseau (SSID), sélectionnez Me connecter automatiquement lorsque ce réseau est à portée.

  9. Pour spécifier que les clients sans fil se connectent aux réseaux par ordre de préférence, sélectionnez Me connecter à un réseau favori prioritaire si cela est possible.

  10. Si vous avez déployé des points d’accès sans fil configurés pour supprimer ses diffusions de signalisation, activez la case à cocher Me connecter même si le réseau ne diffuse pas son nom.

    Sécurité Remarques

    L’activation de cette option peut créer un risque de sécurité parce que les clients sans fil chercheront à détecter tous les réseaux sans fil et essaieront de s’y connecter. Par défaut, ce paramètre n’est pas activé.

  11. Cliquez sur l’onglet Sécurité. Dans Sélectionner les méthodes de sécurité pour ce réseau, dans Authentification, sélectionnez l’option WPA2-Enterprise si elle est prise en charge par le point d’accès sans fil et les cartes réseau de client sans fil. Sinon, sélectionnez WPA-Enterprise.

    Remarques

    La sélection de WPA2 expose les paramètres d’itinérance rapide qui ne s’affichent pas si l’option WPA est sélectionnée. Les paramètres par défaut de l’itinérance rapide suffisent à la plupart des déploiements sans fil.

  12. Dans Chiffrement, sélectionnez AES si cette option est prise en charge par le point d’accès sans fil et les cartes réseau de client sans fil. Sinon, sélectionnez TKIP.

    Remarques

    Les paramètres d’Authentification et de Chiffrement doivent correspondre aux paramètres configurés sur le point d’accès sans fil.

  13. Dans Sélectionner une méthode d’authentification réseau, sélectionnez Microsoft : PEAP (Protected EAP).

  14. Dans Mode d’authentification, sélectionnez l’une des options suivantes, en fonction de vos besoins : Authentification de l’utilisateur ou de l’ordinateur, Authentification de l’ordinateur, Authentification de l’utilisateur, Authentification d’invité. Par défaut, l’option Authentification de l’utilisateur ou de l’ordinateur est sélectionnée.

  15. Dans Nombre maximal d’échecs d’authentification, spécifiez le nombre maximal d’échecs de tentatives d’authentification pouvant avoir lieu avant que l’utilisateur ne soit notifié de l’échec de l’authentification. Par défaut, la valeur est définie sur « 1 ».

  16. Pour spécifier que les informations d’identification des utilisateurs sont conservées en cache, activez la case à cocher Mettre en mémoire cache les informations utilisateur pour les futures connexions à ce réseau.

  17. Cliquez sur Avancé, puis effectuez la configuration suivante :

    1. Pour configurer des paramètres avancés 802.1X, dans IEEE 802.1X, activez la case à cocher Appliquer les paramètres avancés IEEE 802.1X, puis configurez les paramètres suivants, en fonction de vos besoins : Nbre max. de messages Eapol-Start, Période de maintien, Période de démarrage et Période d’authentification.

      Lorsque les paramètres 802.1X avancés sont appliqués, les valeurs par défaut suffisent à la plupart des déploiements sans fil.

    2. Pour activer l’Authentification unique, activez la case à cocher Activer l’authentification unique pour ce réseau.

    3. Pour spécifier à quel moment l’authentification unique s’applique, sélectionnez Immédiatement avant l’ouverture de session de l’utilisateur ou Immédiatement après l’ouverture de session de l’utilisateur, en fonction de vos besoins.

      Dans Authentification unique, les valeurs par défaut restantes sont suffisantes pour les déploiements sans fil classiques.

    4. Pour spécifier la durée maximale, en secondes, pendant laquelle l’authentification 802.1X doit s’effectuer et autoriser l’accès au réseau, entrez une valeur dans Délai maximal pour la connectivité (secondes), en fonction de vos besoins.

    5. Pour autoriser l’affichage de boîtes de dialogue au cours de l’authentification unique, sélectionnez Autoriser l’affichage de boîtes de dialogue supplémentaires pendant l’authentification unique.

    6. Pour spécifier que les ordinateurs sans fil sont placés sur un même réseau local virtuel (VLAN) au démarrage, puis, transitent vers un autre réseau après que l’utilisateur a ouvert une session sur l’ordinateur, sélectionnez Ce réseau utilise différents VLAN pour gérer l’authentification via des informations d’identification utilisateur et ordinateur.

    7. Pour activer l’itinérance rapide, dans Itinérance rapide, sélectionnez Activer la mise en cache de la clé PMK (Pairwise Master Key). Les valeurs par défaut pour Durée de vie de la clé PMK (minutes) et Nombre d’entrées dans le cache PMK sont généralement suffisantes pour l’itinérance rapide.

    8. Activez la case à cocher Ce réseau utilise l’authentification préalable si votre point d’accès sans fil est configuré pour l’authentification préalable. La valeur par défaut de 3 est généralement suffisante pour Nombre maximal de tentatives d’authentification préalable.

    9. Pour spécifier que le chiffrement est conforme au mode certifié FIPS 140-2, sélectionnez Effectuer le chiffrement en mode certifié FIPS 140-2.

  18. Cliquez sur OK pour enregistrer vos paramètres et retourner à l’onglet Sécurité.

  19. Cliquez sur Propriétés. La boîte de dialogue Propriétés EAP protégées s’ouvre.

  20. Dans Propriétés EAP protégées, vérifiez que la case à cocher Valider le certificat du serveur est activée.

  21. Dans Autorités de certification racines de confiance, sélectionnez l’autorité de certification racine de confiance qui a délivré son certificat de serveur au serveur exécutant NPS (Network Policy Server).

    Remarques

    Ce paramètre limite les autorités de certification racine auxquelles les clients accordent leur confiance aux autorités de certification sélectionnées. Si aucune autorité de certification racine de confiance n’est sélectionnée, les clients font confiance à toutes les autorités de certification racine de leur magasin de certificats des Autorités de certification racine de confiance.

  22. Pour indiquer quels serveurs RADIUS (Remote Authentication Dial-In User Service) vos clients d’accès câblé doivent utiliser pour l’authentification et l’autorisation, dans Connexion à ces serveurs, tapez le nom de tous les serveurs RADIUS, exactement comme il s’affiche dans le champ d’objet du certificat de serveur. Séparez les noms des serveurs RADIUS par des points-virgules.

  23. Pour améliorer la sécurité et l’expérience utilisateur, sélectionnez Ne pas demander à l’utilisateur d’autoriser de nouveaux serveurs ou des autorités de certification approuvées.

  24. Dans Sélectionner la méthode d’authentification, sélectionnez Carte à puce ou autre certificat.

  25. Pour bénéficier de la reconnexion rapide PEAP, activez la case à cocher Activer la reconnexion rapide.

  26. Pour spécifier que la protection d’accès réseau (NAP) effectue des contrôles d’intégrité système sur les clients afin de vérifier, avant de les autoriser à se connecter au réseau, qu’ils respectent la stratégie de contrôle d’intégrité, activez la case à cocher Appliquer la protection d’accès réseau.

  27. Pour exiger une TLV de liaison de chiffrement, activez la case à cocher Déconnect. si le serveur ne présente pas TLV de liaison de chiffr..

  28. Pour configurer vos clients de sorte qu’ils n’envoient pas leur identité en texte en clair avant que le client n’ait authentifié le serveur RADIUS, sélectionnez Activer la protection de la confidentialité, et dans Identité anonyme, tapez un nom ou une valeur, ou laissez le champ vide.

    Par exemple, si Activer la protection de la confidentialité est activée, et que vous utilisez « invité » comme identité anonyme, la réponse à l’identité pour l’utilisateur avec l’identité alice@domaine est invité@domaine. Si vous sélectionnez Activer la protection de la confidentialité mais ne fournissez pas de valeur d’identité anonyme, la réponse à l’identité est @domaine.

  29. Cliquez sur Configurer. Dans la boîte de dialogue Propriétés des cartes à puce ou des autres certificats, dans Lors de la connexion, sélectionnez Utiliser ma carte à puce, ou Utiliser un certificat sur cet ordinateur et Utiliser la sélection de certificat simple (recommandé).

  30. Pour exiger que les clients d’accès valident le certificat du serveur NPS, sélectionnez Valider le certificat du serveur.

  31. Pour indiquer quels serveurs RADIUS vos clients d’accès câblé doivent utiliser pour l’authentification et l’autorisation, dans Connexion à ces serveurs, tapez le nom de tous les serveurs RADIUS, exactement comme il s’affiche dans le champ d’objet du certificat de serveur. Séparez les noms des serveurs RADIUS par des points-virgules.

  32. Dans Autorités de certification racines de confiance, sélectionnez l’autorité de certification qui a délivré les certificats à vos serveurs NPS.

  33. Pour spécifier que les clients utilisent un autre nom pour se connecter, sélectionnez Utiliser un nom d’utilisateur différent pour la connexion.

  34. Pour que les utilisateurs ne soient pas invités à approuver un certificat de serveur si le certificat n’est pas configuré correctement, n’est pas encore approuvé, ou les deux, sélectionnez Ne pas demander à l’utilisateur d’autoriser de nouveaux serveurs ou des autorités de certification approuvées. (méthode recommandée)

  35. Cliquez sur OK pour fermer la boîte de dialogue Propriétés des cartes à puce ou des autres certificats, puis cliquez à nouveau sur OK pour fermer la boîte de dialogue Propriétés de PEAP (Protected EAP), et revenir à Propriétés de Nouvelle stratégie de réseau sans fil.


Table des matières