Questa procedura consente di configurare un profilo PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) per l'autenticazione mediante smart card o altri certificati.

Per completare questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins oppure a un gruppo equivalente.

Per configurare un profilo wireless PEAP-TLS per computer che eseguono Windows 7 e Windows Vista

  1. Aprire la finestra di dialogo Proprietà - Nuovo criterio di rete wireless.

  2. Nella scheda Generale in Nome criterio digitare un nuovo nome per il criterio o mantenere il valore predefinito.

  3. In Descrizione digitare una descrizione del criterio.

  4. Selezionare Usa Servizio configurazione automatica WLAN di Windows per i client per specificare che per configurare le impostazioni delle schede di rete wireless verrà utilizzato il servizio Configurazione automatica WLAN.

  5. Nella scheda Generale eseguire una delle operazioni seguenti:

    • Per aggiungere e configurare un nuovo profilo, fare clic su Aggiungi e quindi selezionare Infrastruttura.

    • Per modificare un profilo esistente, selezionare il profilo desiderato e quindi fare clic su Modifica.

  6. Se si aggiunge un nuovo profilo, in Nome profilo nella scheda Connessione digitare un nome per il profilo. Se si modifica un profilo già aggiunto in precedenza, utilizzare il nome del profilo esistente oppure modificarlo in base alle necessità.

  7. In Nome(i) rete (SSID) digitare l'identificatore del set di servizi (SSID) per i punti di accesso wireless e quindi fare clic su Aggiungi.

    Se nella distribuzione in uso sono presenti più SSID e ogni punto di accesso wireless utilizza le stesse impostazioni di sicurezza wireless, ripetere questo passaggio per aggiungere l'SSID per ogni punto di accesso wireless a cui si desidera applicare il profilo.

    Se nella distribuzione in uso sono presenti più SSID e le impostazioni di sicurezza non sono uguali per tutti gli SSID, configurare un profilo distinto per ogni gruppo di SSID che utilizza le stesse impostazioni di sicurezza. Se ad esempio è presente un gruppo di punti di accesso wireless configurato per utilizzare WPA2-Enterprise e AES e un altro gruppo di punti di accesso wireless che utilizza WPA-Enterprise e TKIP, configurare un profilo per ogni gruppo di punti di accesso wireless.

  8. Per specificare che i client wireless dovranno connettersi automaticamente ai punti di accesso wireless per cui l'SSID è specificato in Nome(i) rete (SSID), selezionare Connetti automaticamente quando la rete si trova nel campo del computer.

  9. Per specificare che i client wireless dovranno connettersi automaticamente alle reti in ordine di preferenza, selezionare Connetti a una rete con preferenza superiore, se disponibile.

  10. Se sono stati distribuiti punti di accesso wireless configurati per non utilizzare il beacon di broadcast, selezionare Connetti anche se la rete non sta trasmettendo.

    Sicurezza Nota

    L'attivazione di questa opzione può creare un rischio per la sicurezza perché i client wireless eseguiranno il probe e tenteranno la connessione a qualsiasi rete wireless. Per impostazione predefinita, l'impostazione è disattivata.

  11. Fare clic sulla scheda Sicurezza. In Selezionare i metodi di sicurezza per la rete selezionare WPA2-Enterprise per Autenticazione se è supportato dal punto di accesso wireless e dalle schede di rete dei client wireless. In caso contrario, selezionare WPA-Enterprise.

    Nota

    Se si seleziona WPA2 verranno visualizzate impostazioni per Roaming veloce non disponibili per WPA. Le impostazioni predefinite per il roaming veloce sono sufficienti per la maggior parte delle distribuzioni wireless.

  12. In Crittografia selezionare AES se è supportato dal punto di accesso wireless e dalle schede di rete dei client wireless. In caso contrario, selezionare TKIP.

    Nota

    Le impostazioni di Autenticazione e Crittografia devono corrispondere a quelle configurate nel punto di accesso wireless.

  13. In Selezionare un metodo di autenticazione di rete selezionare Microsoft: PEAP (Protected EAP).

  14. In Modalità autenticazione selezionare quanto riportato di seguito in base alle proprie necessità: Autenticazione utente o computer, Autenticazione computer, Autenticazione utente, Autenticazione Guest. L'opzione Autenticazione utente o computer è selezionata per impostazione predefinita.

  15. In Numero massimo errori di autenticazione specificare il numero massimo consentito di tentativi non riusciti prima che l'utente venga informato dell'esito negativo dell'autenticazione. Per impostazione predefinita questo valore è impostato su 1.

  16. Per specificare che si desidera che le credenziali utente vengano memorizzate nella cache, selezionare Memorizza informazioni utente per successive connessioni a questa rete.

  17. Fare clic su Avanzate e quindi configurare le impostazioni seguenti:

    1. Per configurare le impostazioni 802.1X avanzate, in IEEE 802.1X selezionare Applica impostazioni avanzate 802.1X e quindi configurare le impostazioni seguenti in base alle necessità: Numero massimo messaggi di avvio EAPOL, Periodo di sospensione, Periodo di avvio e Periodo di autenticazione.

      I valori predefiniti sono sufficienti per la maggior parte delle distribuzioni wireless se vengono applicate le impostazioni 802.1X avanzate.

    2. Per attivare Single Sign-On, selezionare Attiva Single Sign-On per la rete.

    3. Per specificare quando dovrà essere eseguito Single Sign-On, selezionare Esegui immediatamente prima dell'accesso utente o Esegui immediatamente dopo l'accesso utente, in base alle necessità.

      Gli altri valori predefiniti di Single Sign-On sono sufficienti per tutte le distribuzioni wireless tipiche.

    4. Per specificare l'intervallo di tempo massimo, in secondi, che l'autenticazione 802.1X può impiegare per completare e autorizzare l'accesso alla rete, immettere un valore in Ritardo massimo connettività (secondi) in base alle necessità.

    5. Per consentire la visualizzazione di finestre di dialogo durante Single Sign-On, selezionare Consenti visualizzazione di finestre di dialogo aggiuntive durante Single Sign-On.

    6. Per specificare che all'avvio i computer wireless verranno inseriti in una rete locale virtuale (VLAN, Virtual Local Area Network) mentre dopo l'accesso dell'utente al computer passeranno in una rete diversa, selezionare La rete utilizza una VLAN diversa per l'autenticazione con credenziali utente e computer.

    7. Per abilitare il roaming veloce, selezionare Consenti memorizzazione nella cache Pairwise Master Key (PMK) in Roaming veloce. I valori predefiniti di Durata (TTL) PMK (minuti) e Numero di voci nella cache PMK sono in genere sufficienti per il roaming veloce.

    8. Se il punto di accesso wireless è configurato per la preautenticazione, selezionare La rete utilizza la preautenticazione. Il valore predefinito 3 di Numero massimo tentativi di preautenticazione è in genere sufficiente.

    9. Per specificare che la crittografia dovrà essere conforme alla modalità certificata FIPS 140-2, selezionare Esegui crittografia in modalità certificata FIPS 140-2.

  18. Fare clic su OK per salvare le impostazioni e tornare alla scheda Sicurezza.

  19. Fare clic su Proprietà. Verrà visualizzata la finestra di dialogo Proprietà PEAP.

  20. Verificare che l'opzione Convalida certificato server sia selezionata in Proprietà PEAP.

  21. In Autorità di certificazione radice attendibili selezionare l'Autorità di certificazione radice attendibile che ha emesso il certificato server per il server che esegue Server dei criteri di rete.

    Nota

    Questa impostazione limita alle CA selezionate le CA radice attendibili che i client considerano attendibili. Se non vengono selezionate CA radice attendibili, i client considereranno attendibili tutte le CA radice presenti nel relativo archivio delle Autorità di certificazione radice attendibili.

  22. Per specificare i server RADIUS (Remote Authentication Dial-In User Service) che dovranno essere utilizzati dai client di accesso a reti cablate per l'autenticazione e l'autorizzazione, in Connetti ai server seguenti digitare il nome di ogni server RADIUS esattamente come è visualizzato nel campo dell'oggetto del certificato server. Se si specificano più nomi di server RADIUS, separarli con il punto e virgola.

  23. Per una sicurezza e un'esperienza utente migliori selezionare Non chiedere all'utente di autorizzare nuovi server o autorità di certificazione attendibili.

  24. In Selezionare il metodo di autenticazione selezionare Smart card o altro certificato.

  25. Per abilitare la riconnessione rapida PEAP, selezionare Abilita riconnessione rapida.

  26. Per impostare l'esecuzione di controlli di integrità del sistema nei client per garantire che soddisfino i requisiti di integrità necessari prima di autorizzare connessioni alla rete, selezionare Imponi Protezione accesso alla rete.

  27. Per richiedere il TLV di cryptobinding, selezionare Disconnetti se il server non presenta TLV di cryptobinding.

  28. Per configurare i client affinché non inviino l'identità in testo normale prima dell'autenticazione con il server RADIUS, selezionare Consenti privacy identità e quindi in Identità anonima digitare un nome o un valore oppure lasciare vuoto il campo.

    Se ad esempio Consenti privacy identità è selezionato e si utilizza "guest" come valore per l'identità anonima, la risposta di identità per un utente con identità alice@realm sarà guest@realm. Se si seleziona Consenti privacy identità ma non si specifica un valore per l'identità anonima, la risposta di identità sarà @realm.

  29. Fare clic su Configura. In Per la connessione nella finestra di dialogo Proprietà smart card o altro certificato selezionare Utilizza la smart card oppure selezionare entrambe le opzioni Utilizza un certificato su questo computer e Utilizza selezione certificati semplice (opzione consigliata).

  30. Per richiedere la convalida del certificato del Server dei criteri di rete ai client di accesso, selezionare Convalida certificato server.

  31. Per specificare i server RADIUS che devono essere utilizzati dai client di accesso a reti cablate per l'autenticazione e le autorizzazioni, in Connetti ai server seguenti digitare il nome di ogni server RADIUS esattamente come viene visualizzato nel campo dell'oggetto del certificato del server. Per specificare più nomi di server RADIUS separarli con punti e virgola.

  32. In Autorità di certificazione radice attendibili selezionare la CA che ha emesso i certificati per i server che eseguono Server dei criteri di rete.

  33. Per specificare che i client devono utilizzare un nome alternativo per il tentativo di accesso, selezionare Utilizza un nome utente diverso per la connessione.

  34. Per evitare che venga richiesto agli utenti di autorizzare un certificato server se tale certificato non è configurato correttamente e/o non è già considerato attendibile, selezionare Non chiedere all'utente di autorizzare nuovi server o autorità di certificazione attendibili (scelta consigliata).

  35. Fare clic su OK per chiudere la finestra di dialogo Proprietà smart card o altro certificato e quindi di nuovo su OK per chiudere la finestra di dialogo Proprietà PEAP e tornare alla finestra Proprietà - Nuovo criterio di rete wireless.

Argomenti della Guida