Utilisez cette procédure pour configurer un profil sans fil PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) pour les ordinateurs sans fil qui exécutent Windows XP et Windows Server 2003.
Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Admins du domaine ou à un groupe équivalent.
 | Pour configurer un profil sans fil PEAP-TLS pour les ordinateurs exécutant Windows XP |
Ouvrez la boîte de dialogue Propriétés de Nouvelle stratégie de réseau sans fil XP.
Sous l’onglet Général, effectuez les actions suivantes :
-
Dans Nom de stratégie XP, tapez le nom de votre stratégie sans fil.
-
Dans la zone Description, tapez une description de la stratégie.
-
Dans Accès réseau, sélectionnez soit Réseaux avec point d’accès uniquement (infrastructure), soit Tout réseau disponible (point d’accès favori).
-
Activez la case à cocher Utiliser Windows pour configurer les paramètres réseau sans fil pour les clients.
-
Dans Nom de stratégie XP, tapez le nom de votre stratégie sans fil.
Sous l’onglet Réseaux favoris, cliquez sur Ajouter, puis sélectionnez Infrastructure. Sous l’onglet Propriétés du réseau, effectuez les actions suivantes :
- Dans Nom réseau (SSID), tapez l’identificateur SSID de votre réseau.
Remarques La valeur que vous entrez dans ce champ doit correspondre à la valeur configurée sur les points d’accès que vous avez déployés sur votre réseau.
- Dans Description, entrez une description des propriétés du Nouveau paramètre de préférence.
- Sous Sélectionner les méthodes de sécurité pour ce réseau, dans Authentification, sélectionnez soit WPA2 (recommandé), soit WPA. Dans Chiffrement, spécifiez soit AES, soit TKIP.
Remarques Dans les stratégies réseau sans fil (IEEE 802.11) Windows XP, WPA2 et WPA correspondent respectivement aux paramètres WPA2-Enterprise et WPA-Enterprise des stratégies réseau sans fil Windows Vista (IEEE 802.11).
Remarques La sélection de WPA2 permet d’accéder à d’autres paramètres pour configurer l’itinérance rapide. Les paramètres par défaut de l’itinérance rapide suffisent à la plupart des déploiements sans fil.
- Dans Nom réseau (SSID), tapez l’identificateur SSID de votre réseau.
Cliquez sur l’onglet IEEE 802.1X. Dans Type EAP, PEAP (Protected EAP) est sélectionné par défaut.
Les autres paramètres par défaut figurant sous l’onglet IEEE 802.1X suffisent à la plupart des déploiements sans fil.
Cliquez sur Paramètres. Dans la boîte de dialogue Propriétés EAP protégées, effectuez les opérations suivantes :
-
Activez la case à cocher Valider le certificat du serveur.
- Pour indiquer quels serveurs RADIUS (Remote Authentication Dial-In User Service) vos clients d’accès câblé doivent utiliser pour l’authentification et l’autorisation, dans Connexion à ces serveurs, tapez le nom de tous les serveurs RADIUS, exactement comme il s’affiche dans le champ d’objet du certificat de serveur. Séparez les noms des serveurs RADIUS par des points-virgules.
-
Dans Autorités de certification racines de confiance, sélectionnez l’autorité de certification racine de confiance qui a délivré son certificat de serveur au serveur exécutant NPS (Network Policy Server).
Remarques Ce paramètre limite aux valeurs sélectionnées les autorités de certification racine auxquelles les clients accordent leur confiance. Si aucune autorité de certification racine de confiance n’est sélectionnée, les clients feront confiance à toutes les autorités de certification racine de leur magasin de certificats des Autorités de certification racine de confiance.
- Pour améliorer la sécurité et l’expérience utilisateur, sélectionnez Ne pas demander à l’utilisateur d’autoriser de nouveaux serveurs ou des autorités de certification approuvées.
- Dans Sélectionner la méthode d’authentification, sélectionnez Carte à puce ou autre certificat.
- Pour bénéficier de la reconnexion rapide PEAP, activez la case à cocher Activer la reconnexion rapide.
- Pour spécifier que la protection d’accès réseau (NAP) effectue des contrôles d’intégrité système sur les clients afin de vérifier, avant de les autoriser à se connecter au réseau, qu’ils respectent la stratégie de contrôle d’intégrité, activez la case à cocher Appliquer la protection d’accès réseau.
- Pour exiger une TLV de liaison de chiffrement, activez la case à cocher Déconnect. si le serveur ne présente pas TLV de liaison de chiffr..
- Pour configurer vos clients de sorte qu’ils n’envoient pas leur identité en texte en clair avant que le client n’ait authentifié le serveur RADIUS, sélectionnez Activer la protection de la confidentialité, et dans Identité anonyme, tapez un nom ou une valeur, ou laissez le champ vide.
Par exemple, si Activer la protection de la confidentialité est activée, et que vous utilisez « invité » comme identité anonyme, la réponse à l’identité pour l’utilisateur avec l’identité alice@domaine est invité@domaine. Si vous sélectionnez Activer la protection de la confidentialité mais ne fournissez pas de valeur d’identité anonyme, la réponse à l’identité est @domaine.
- Pour configurer les propriétés PEAP-TLS, cliquez sur Configurer, puis dans Propriétés des cartes à puces et des autres certificats, configurez les éléments suivants selon vos besoins :
- Dans Lors de la connexion, sélectionnez soit Utiliser ma carte à puce, soit Utiliser un certificat sur cet ordinateur et Utiliser la sélection de certificat simple (recommandé).
- Pour exiger que les clients d’accès valident le certificat du serveur NPS, sélectionnez Valider le certificat du serveur.
- Pour indiquer quels serveurs RADIUS vos clients d’accès câblé doivent utiliser pour l’authentification et l’autorisation, dans Connexion à ces serveurs, tapez le nom de tous les serveurs RADIUS, exactement comme il s’affiche dans le champ d’objet du certificat de serveur. Séparez les noms des serveurs RADIUS par des points-virgules.
- Dans Autorités de certification racines de confiance, sélectionnez l’autorité de certification qui a délivré les certificats de serveur NPS sur votre réseau.
- Pour spécifier que les clients utilisent un autre nom pour se connecter, sélectionnez Utiliser un nom d’utilisateur différent pour la connexion.
- Pour que les utilisateurs ne soient pas invités à approuver un certificat de serveur si le certificat n’est pas configuré correctement, n’est pas encore approuvé, ou les deux, sélectionnez Ne pas demander à l’utilisateur d’autoriser de nouveaux serveurs ou des autorités de certification approuvées. (méthode recommandée)
- Cliquez sur OK pour fermer la boîte de dialogue Propriétés des cartes à puce ou des autres certificats, puis cliquez à nouveau sur OK pour fermer la boîte de dialogue Propriétés de PEAP (Protected EAP), et revenir à Propriétés de Nouvelle stratégie de réseau câblé de Vista.
- Dans Lors de la connexion, sélectionnez soit Utiliser ma carte à puce, soit Utiliser un certificat sur cet ordinateur et Utiliser la sélection de certificat simple (recommandé).
-
Activez la case à cocher Valider le certificat du serveur.