Poniższa procedura służy do konfigurowania profilu bezprzewodowego PEAP-MS-CHAP (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol) w wersji 2.

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Domain Admins lub równoważnej.

Aby skonfigurować profil bezprzewodowy PEAP-MS-CHAP w wersji 2 dla komputerów z systemem Windows 7 lub Windows Vista

  1. Otwórz okno dialogowe Właściwości: Nowe zasady sieci bezprzewodowej (IEEE 802.11).

  2. Na karcie Ogólne w polu Nazwa zasady wpisz nową nazwę zasady lub pozostaw nazwę domyślną.

  3. W polu Opis wpisz opis tej zasady.

  4. Zaznacz pole wyboru Użyj systemu Windows do konfiguracji ustawień sieci bezprzewodowej dla klientów, aby określić, że do konfigurowania ustawień karty sieci bezprzewodowej ma być stosowana usługa automatycznego konfigurowania sieci WLAN.

  5. Na karcie Ogólne wykonaj jedną z następujących czynności:

    • Aby dodać i skonfigurować nowy profil, kliknij przycisk Dodaj, a następnie wybierz pozycję Infrastruktura.

    • Aby edytować istniejący profil, wybierz profil do zmodyfikowania, a następnie kliknij przycisk Edytuj.

  6. Jeśli dodawany jest nowy profil, na karcie Połączenie wpisz w polu Nazwa profilu nazwę profilu. Jeśli edytowany jest profil, który został już dodany, użyj istniejącej nazwy profilu lub zmodyfikuj ją według potrzeb.

  7. W polu Nazwy sieci (SSID) wpisz identyfikatory zestawu usług (SSID) punktów dostępu bezprzewodowego, a następnie kliknij przycisk Dodaj.

    Jeśli w danym wdrożeniu użyto wielu identyfikatorów SSID, a każdy punkt dostępu bezprzewodowego używa tych samych ustawień zabezpieczeń sieci bezprzewodowej, powtórz ten krok w celu dodania identyfikatora SSID każdego punktu dostępu bezprzewodowego, do którego ma być stosowany ten profil.

    Jeśli w danym wdrożeniu użyto wielu identyfikatorów SSID, a ustawienia zabezpieczeń dla poszczególnych identyfikatorów SSID nie są zgodne, skonfiguruj osobny profil dla każdej grupy identyfikatorów SSID korzystających z tych samych ustawień zabezpieczeń. Jeśli na przykład jedna grupa punktów dostępu bezprzewodowego jest skonfigurowana do korzystania z ustawień WPA2-Enterprise oraz AES, a inna grupa punktów dostępu bezprzewodowego używa ustawień WPA-Enterprise oraz TKIP, skonfiguruj profil dla każdej grupy punktów dostępu bezprzewodowego.

  8. Aby określić, że klienci sieci bezprzewodowej automatycznie łączą się z punktami dostępu bezprzewodowego, których identyfikatory SSID określono w polu Nazwy sieci (SSID), zaznacz pole wyboru Połącz automatycznie, gdy ta sieć jest w zasięgu.

  9. Aby określić, że klienci sieci bezprzewodowej łączą się z sieciami według ich priorytetu, zaznacz pole wyboru Połącz z siecią preferowaną, jeśli jest dostępna.

  10. Jeśli wdrożenie obejmuje punkty dostępu bezprzewodowego skonfigurowane do pomijania nadawania sygnału, zaznacz pole wyboru Połącz, nawet jeśli sieć nie wykonuje emisji.

    Uwaga dotycząca zabezpieczeń

    Włączenie tej opcji może spowodować zagrożenie bezpieczeństwa, ponieważ klienci sieci bezprzewodowej będą sondować każdą sieć bezprzewodową, próbując nawiązać połączenie. Domyślnie ta opcja nie jest włączona.

  11. Kliknij kartę Zabezpieczenia. W obszarze Wybieranie metod zabezpieczeń dla tej sieci na liście Uwierzytelnianie wybierz opcję WPA2-Enterprise, jeśli jest obsługiwana przez używany punkt dostępu bezprzewodowego i karty sieciowe klientów sieci bezprzewodowej. W przeciwnym razie wybierz opcję WPA-Enterprise.

    Uwaga

    Po wybraniu ustawienia WPA2 dostępne są dodatkowe ustawienia dotyczące szybkiego roamingu, które nie są wyświetlane w przypadku wybrania opcji WPA. W przypadku większości wdrożeń domyślne ustawienia szybkiego roamingu są wystarczające.

  12. Na liście Szyfrowanie wybierz opcję AES, jeśli jest obsługiwana przez używany punkt dostępu bezprzewodowego i karty sieciowe klientów sieci bezprzewodowej. W przeciwnym razie wybierz opcję TKIP.

    Uwaga

    Ustawienia na listach Uwierzytelnianie i Szyfrowanie muszą zgadzać się z ustawieniami skonfigurowanymi w używanym punkcie dostępu bezprzewodowego.

  13. W obszarze Wybierz metodę uwierzytelniania sieciowego wybierz opcję Microsoft: Chroniony protokół EAP (PEAP).

  14. W obszarze Tryb uwierzytelniania wybierz, zależnie od potrzeb, jedną z następujących opcji: Uwierzytelnianie użytkownika lub komputera, Uwierzytelnianie komputera, Uwierzytelnianie użytkownika, Uwierzytelnianie gościa. Domyślnie jest wybrana opcja Uwierzytelnianie użytkownika lub komputera.

  15. W polu Maks. liczba błędów uwierzytelniania określ maksymalną dozwoloną liczbę prób zakończonych niepowodzeniem przed powiadomieniem użytkownika o niepowodzeniu uwierzytelnienia. Domyślną wartością jest „1”.

  16. Jeśli poświadczenia użytkowników mają być przechowywane w pamięci podręcznej, zaznacz pole wyboru Przechowuj w pamięci podręcznej informacje o użytkownikach dla kolejnych połączeń z tą siecią.

  17. Kliknij przycisk Zaawansowane, a następnie skonfiguruj następujące ustawienia:

    1. Aby skonfigurować zaawansowane ustawienia 802.1X, w obszarze IEEE 802.1X wybierz opcję Wymuś zaawansowane ustawienia 802.1X, a następnie, zależnie od potrzeb, skonfiguruj poniższe ustawienia: Maksymalna liczba komunikatów uruchomienia-eapol, Okres przetrzymywania, Okres uruchomienia i Okres uwierzytelniania.

      Gdy są wymuszane zaawansowane ustawienia 802.1X, wartości domyślne są wystarczające dla większości wdrożeń sieci bezprzewodowych.

    2. Aby włączyć rejestrację jednokrotną, zaznacz pole wyboru Włącz rejestrację jednokrotną dla tej sieci.

    3. Aby określić, kiedy przebiega rejestracja jednokrotna, wybierz zależnie od potrzeb opcję Wykonaj bezpośrednio przed logowaniem użytkownika lub Wykonaj bezpośrednio po logowaniu użytkownika.

      Pozostałe wartości domyślne w obszarze Rejestracja jednokrotna są wystarczające dla typowych wdrożeń sieci bezprzewodowych.

    4. Aby określić maksymalny czas (w sekundach), w którym uwierzytelnianie 802.1X musi się zakończyć i autoryzować dostęp do sieci, w polu Maksymalne opóźnienie łączności (w sekundach) wprowadź wymaganą wartość.

    5. Aby zezwolić na wyświetlanie okien dialogowych podczas rejestracji jednokrotnej, zaznacz pole wyboru Zezwalaj na wyświetlanie dodatkowych okien dialogowych podczas rejestracji jednokrotnej.

    6. Aby określić, że komputery łączące się bezprzewodowo w chwili uruchomienia są umieszczane w jednej wirtualnej sieci lokalnej (VLAN), a następnie są przenoszone do innej sieci po zalogowaniu użytkownika na komputerze, zaznacz pole wyboru Ta sieć używa różnych sieci VLAN do uwierzytelniania przy użyciu poświadczeń komputera i użytkownika.

    7. Aby włączyć funkcję szybkiego roamingu, w obszarze Szybki roaming zaznacz pole wyboru Włącz buforowanie kluczy głównych parowania. Wartości domyślne ustawień Czas wygaśnięcia klucza głównego parowania (w minutach) oraz Liczba wpisów w buforze kluczy głównych parowania są zwykle wystarczające dla funkcji szybkiego roamingu.

    8. Zaznacz pole wyboru Ta sieć używa wstępnego uwierzytelniania, jeśli punkt dostępu bezprzewodowego jest skonfigurowany do wstępnego uwierzytelniania. Dla ustawienia Maksymalna liczba prób uwierzytelniania wstępnego jest zwykle wystarczająca wartość domyślna wynosząca 3.

    9. Aby określić, że kryptografia jest zgodna z certyfikowanym trybem FIPS 140-2, zaznacz pole wyboru Wykonaj kryptografię w trybie z certyfikatem FIPS 140-2.

  18. Kliknij przycisk OK, aby zapisać ustawienia i wrócić do karty Zabezpieczenia.

  19. Kliknij opcję Właściwości. Zostanie otwarte okno dialogowe Właściwości chronionego protokołu EAP.

  20. W oknie dialogowym Właściwości chronionego protokołu EAP upewnij się, że zaznaczona jest opcja Weryfikuj certyfikat serwera.

  21. Z listy Zaufane główne urzędy certyfikacji wybierz zaufany główny urząd certyfikacji, który wystawił certyfikat serwera dla używanego serwera NPS.

    Uwaga

    To ustawienie pozwala ograniczyć zaufane główne urzędy certyfikacji, którym ufają klienci, do wybranych urzędów. Jeśli nie zostanie wybrany żaden zaufany główny urząd certyfikacji, klienci będą ufać wszystkim głównym urzędom certyfikacji wymienionym w ich magazynach zaufanych głównych urzędów certyfikacji.

  22. Aby określić serwery RADIUS (Remote Authentication Dial-In User Service), których muszą używać na potrzeby uwierzytelniania i autoryzacji klienci z dostępem przewodowym, w obszarze Połącz tylko z tymi serwerami wpisz nazwę każdego serwera RADIUS, dokładnie tak, jak widnieje ona w polu podmiotu certyfikatu serwera. Poszczególne nazwy serwerów RADIUS oddzielaj średnikami.

  23. W celu zwiększenia bezpieczeństwa i wygody użytkowników zaznacz pole wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji.

  24. W obszarze Wybierz metodę uwierzytelniania wybierz pozycję Bezpieczne hasło (EAP-MS-CHAP v2).

  25. Aby włączyć funkcję szybkiego ponownego nawiązywania połączenia przy użyciu protokołu PEAP, zaznacz pole wyboru Włącz szybkie łączenie ponowne.

  26. Aby określić, że przed zezwoleniem na nawiązywanie połączeń z siecią ochrona dostępu do sieci (NAP) ma przeprowadzać sprawdzanie kondycji systemu na klientach w celu zagwarantowania, że zostały spełnione wymagania dotyczące kondycji, wybierz opcję Wymuś ochronę dostępu do sieci.

  27. Aby ustawić wymaganie obiektu TLV (Type-Length-Value) powiązania kryptograficznego, wybierz opcję Rozłącz, jeśli serwer nie przedstawi obiektu TLV powiązania kryptograficznego.

  28. W celu skonfigurowania klientów w taki sposób, aby nie wysyłali swojej tożsamości zwykłym tekstem przed uwierzytelnieniem serwera RADIUS, wybierz opcję Włącz prywatność tożsamości, a następnie w polu Tożsamość anonimowa wpisz nazwę lub wartość albo pozostaw to pole puste.

    Jeśli na przykład opcja Włącz prywatność tożsamości jest włączona, a jako wartość tożsamości anonimowej używany jest ciąg „gość”, odpowiedzią na tożsamość użytkownika alicja@obszar jest gość@obszar. Jeśli zostanie wybrana opcja Włącz prywatność tożsamości, ale nie zostanie podana wartość tożsamości anonimowej, odpowiedź na tożsamość to @obszar.

  29. Kliknij przycisk Konfiguruj. W oknie dialogowym Właściwości protokołu EAP MSCHAPv2 sprawdź, czy pole wyboru Automatycznie użyj mojej nazwy logowania i hasła (oraz domeny, jeżeli istnieje) systemu Windows jest zaznaczone, kliknij przycisk OK, a następnie kliknij przycisk OK, aby zamknąć okno Właściwości chronionego protokołu EAP.

  30. Kliknij przycisk OK, aby zapisać ustawienia i zamknąć kartę Zabezpieczenia, a następnie ponownie kliknij przycisk OK w celu zamknięcia ustawień Zasady sieci bezprzewodowej systemu Vista.

Spis treści