Poniższa procedura służy do konfigurowania profilu PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) w celu uwierzytelniania klientów z użyciem kart inteligentnych lub innych certyfikatów.

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub równoważnej.

Aby skonfigurować profil dla przewodowych połączeń PEAP-TLS
  1. Na karcie Ogólne wykonaj następujące czynności:

    1. W polu Nazwa zasady wpisz nazwę zasady sieci przewodowej.

    2. W polu Opis wpisz krótki opis tych zasad.

    3. Upewnij się, że jest zaznaczone pole wyboru Użyj usługi autokonfiguracji sieci przewodowej systemu Windows dla klientów.

    4. Aby umożliwić użytkownikom komputerów z systemem Windows 7 wprowadzanie i przechowywanie poświadczeń domeny (nazwy użytkownika i hasła), których komputer może następnie używać do logowania się w sieci (nawet gdy użytkownik nie jest aktywnie zalogowany), w obszarze Ustawienia zasad systemu Windows 7 wybierz opcję Włącz jawne poświadczenia.

    5. Aby określić czas, przez jaki komputery z systemem Windows 7 mają zakaz podejmowania prób automatycznego nawiązania połączenia z siecią, wybierz opcję Włącz okres bloku, a następnie w polu Okres bloku (w minutach) podaj liczbę minut, w czasie których ma obowiązywać blokada. Dozwolona jest liczba minut z zakresu od 1 do 60.

      Uwaga

      Aby uzyskać więcej informacji o ustawieniach na każdej z kart, naciśnij klawisz F1 podczas przeglądania danej karty.

  2. Na karcie Zabezpieczenia wykonaj następujące czynności:

    1. Zaznacz pole wyboru Włącz uwierzytelnianie dostępu do sieci metodą IEEE 802.1X.

    2. W obszarze Wybierz metodę uwierzytelniania sieciowego wybierz opcję Microsoft: Chroniony protokół EAP (PEAP).

    3. W obszarze Tryb uwierzytelniania wybierz, zależnie od potrzeb, jedną z następujących opcji: Uwierzytelnianie użytkownika lub komputera, Uwierzytelnianie komputera, Uwierzytelnianie użytkownika, Uwierzytelnianie gościa. Domyślnie jest wybrana opcja Uwierzytelnianie użytkownika lub komputera.

    4. W polu Maks. liczba błędów uwierzytelniania określ maksymalną dozwoloną liczbę prób zakończonych niepowodzeniem przed powiadomieniem użytkownika o niepowodzeniu uwierzytelnienia. Domyślną wartością jest „1”.

    5. Jeśli poświadczenia użytkowników mają być przechowywane w pamięci podręcznej, zaznacz pole wyboru Przechowuj w pamięci podręcznej informacje o użytkownikach dla kolejnych połączeń z tą siecią.

  3. Aby skonfigurować ustawienia rejestracji jednokrotnej lub zaawansowane ustawienia 802.1X, kliknij przycisk Zaawansowane. Na karcie Zaawansowane wykonaj następujące czynności:

    1. Aby skonfigurować zaawansowane ustawienia 802.1X, zaznacz pole wyboru Wymuś zaawansowane ustawienia 802.1X, a następnie zmodyfikuj (tylko w razie potrzeby) następujące ustawienia: Maksymalna liczba komunikatów uruchomienia-eapol, Okres przetrzymywania, Okres uruchomienia, Okres uwierzytelniania, Komunikat uruchomienia-eapol.

    2. Aby skonfigurować ustawienia rejestracji jednokrotnej, zaznacz pole wyboru Włącz rejestrację jednokrotną dla tej sieci, a następnie zmodyfikuj stosownie do potrzeb następujące ustawienia:

      • Wykonaj bezpośrednio przed logowaniem użytkownika

      • Wykonaj bezpośrednio po logowaniu użytkownika

      • Maksymalne opóźnienie łączności

      • Zezwalaj na wyświetlanie dodatkowych okien dialogowych podczas rejestracji jednokrotnej

      • Ta sieć używa różnych sieci VLAN do uwierzytelniania przy użyciu poświadczeń komputera i użytkownika

  4. Kliknij przycisk OK. Okno dialogowe Zaawansowane ustawienia zabezpieczeń zostanie zamknięte i nastąpi powrót do karty Zabezpieczenia. Na karcie Zabezpieczenia kliknij przycisk Właściwości. Zostanie otwarte okno dialogowe Właściwości chronionego protokołu EAP.

  5. W oknie dialogowym Właściwości chronionego protokołu EAP wykonaj następujące czynności:

    1. Zaznacz pole wyboru Weryfikuj certyfikat serwera.

    2. Aby określić serwery usługi RADIUS (Remote Authentication Dial-In User Service), których muszą używać na potrzeby uwierzytelniania i autoryzacji klienci z dostępem przewodowym, w obszarze Połącz tylko z tymi serwerami wpisz nazwę każdego serwera usługi RADIUS, dokładnie tak, jak widnieje ona w polu podmiotu certyfikatu danego serwera. Poszczególne nazwy serwerów RADIUS oddzielaj średnikami.

    3. Z listy Zaufane główne urzędy certyfikacji wybierz zaufany główny urząd certyfikacji, który wystawił certyfikat serwera dla używanych serwerów NPS.

      Uwaga

      To ustawienie pozwala ograniczyć do wybranych wartości zaufane główne urzędy certyfikacji, którym ufają klienci. Jeśli nie zostanie wybrany żaden zaufany główny urząd certyfikacji, klienci będą ufać wszystkim zaufanym głównym urzędom certyfikacji w ich magazynach zaufanych głównych urzędów certyfikacji.

    4. W celu zwiększenia bezpieczeństwa i wygody użytkowników zaznacz pole wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji.

    5. W obszarze Wybierz metodę uwierzytelniania wybierz pozycję Karta inteligentna lub inny certyfikat.

    6. Aby włączyć funkcję szybkiego ponownego nawiązywania połączenia przy użyciu protokołu PEAP, zaznacz pole wyboru Włącz szybkie łączenie ponowne.

    7. Aby określić, że przed zezwoleniem na nawiązywanie połączeń z siecią ochrona dostępu do sieci (NAP) ma przeprowadzać sprawdzanie kondycji systemu na klientach w celu zagwarantowania, że zostały spełnione wymagania dotyczące kondycji, wybierz opcję Wymuś ochronę dostępu do sieci.

    8. Aby ustawić wymaganie obiektu powiązania kryptograficznego TLV (Type-Length Value), zaznacz pole wyboru Rozłącz, jeśli serwer nie przedstawi obiektu TLV powiązania kryptograficznego.

    9. W celu skonfigurowania klientów tak, aby nie wysyłali swojej tożsamości zwykłym tekstem przed uwierzytelnieniem serwera RADIUS, wybierz opcję Włącz prywatność tożsamości i w polu Tożsamość anonimowa wpisz nazwę lub wartość albo pozostaw je puste.

      Jeśli na przykład opcja Włącz prywatność tożsamości jest włączona, a jako wartość tożsamości anonimowej używany jest ciąg „gość”, odpowiedzią na tożsamość użytkownika alicja@obszar jest gość@obszar. Jeśli wybrana zostanie opcja Włącz prywatność tożsamości, ale nie zostanie podana wartość tożsamości anonimowej, odpowiedź na tożsamość to @obszar.

    10. Aby skonfigurować właściwości protokołu PEAP-TLS, kliknij przycisk Konfiguruj, a następnie w oknie Właściwości karty inteligentnej lub innego certyfikatu skonfiguruj stosownie do potrzeb następujące pozycje:

      • W obszarze Podczas łączenia wybierz opcję Użyj mojej karty inteligentnej lub wybierz opcje Użyj certyfikatu na tym komputerze i Użyj prostego wyboru certyfikatu (zalecane).

      • Aby określić wymaganie sprawdzania certyfikatu serwera NPS przez klientów uzyskujących dostęp, wybierz opcję Weryfikuj certyfikat serwera.

      • Aby określić serwery usługi RADIUS, których muszą używać na potrzeby uwierzytelniania i autoryzacji klienci z dostępem przewodowym, w obszarze Połącz tylko z tymi serwerami wpisz nazwę każdego serwera usługi RADIUS, dokładnie tak, jak widnieje ona w polu podmiotu certyfikatu danego serwera. Poszczególne nazwy serwerów usługi RADIUS oddzielaj średnikami.

      • W obszarze Zaufane główne urzędy certyfikacji wybierz urząd certyfikacji, który wystawił certyfikaty serwerów NPS działających w sieci.

      • Aby wskazać, że klienci korzystają z innej nazwy przy próbach uzyskania dostępu, wybierz opcję Użyj innej nazwy użytkownika dla połączenia.

      • Aby zapobiec wyświetlaniu użytkownikom monitu o zaufanie certyfikatowi serwera, jeśli certyfikat jest niewłaściwie skonfigurowany, nie jest jeszcze zaufany lub jeśli zachodzą obie te okoliczności, zaznacz pole wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji (zalecane).

      • Kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości karty inteligentnej lub innego certyfikatu, a następnie ponownie kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości chronionego protokołu EAP (PEAP). Nastąpi powrót do okna dialogowego Właściwości: Nowe zasady sieci przewodowej.


Spis treści