Poniższa procedura służy do konfigurowania profilu bezprzewodowego PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) dla komputerów z systemem Windows XP lub Windows Server 2003, które nawiązują połączenia z siecią bezprzewodową.

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub równoważnej.

Aby skonfigurować profil bezprzewodowy PEAP-TLS dla komputerów z systemem Windows XP

  1. Otwórz okno dialogowe Właściwości: Nowe zasady sieci bezprzewodowej (IEEE 802.11) XP.

    Na karcie Ogólne wykonaj następujące czynności:

    1. W polu Nazwa zasady systemu XP wpisz nazwę zasad sieci bezprzewodowej.

    2. W polu Opis wpisz opis tych zasad.

    3. W obszarze Dostęp do sieci wybierz pozycję Tylko sieci z punktem dostępu (sieci infrastruktury) lub pozycję Dowolna dostępna sieć (preferowana z punktem dostępu).

    4. Wybierz pozycję Użyj systemu Windows do konfiguracji ustawień sieci bezprzewodowej dla klientów.

  2. Na karcie Sieci preferowane kliknij przycisk Dodaj, a następnie wybierz pozycję Infrastruktura. Na karcie Właściwości sieci skonfiguruj następujące elementy:

    1. W polu Nazwa sieci (SSID) wpisz identyfikator zestawu usług (SSID) sieci.

      Uwaga

      Wartość wprowadzona w tym polu musi odpowiadać wartości skonfigurowanej w punktach dostępu zainstalowanych w sieci.

    2. W oknie Właściwości: Nowe preferowane ustawienie w polu Opis wprowadź opis tego ustawienia.

    3. W obszarze Wybieranie metod zabezpieczeń dla tej sieci wybierz w polu Uwierzytelnianie pozycję WPA2 (preferowana) lub pozycję WPA. W obszarze Szyfrowanie określ ustawienie AES lub TKIP.

      Uwaga

      Ustawienia WPA2 i WPA w ramach zasad sieci bezprzewodowej (IEEE 802.11) systemu Windows XP odpowiadają ustawieniom WPA2-Enterprise i WPA-Enterprise w ramach zasad sieci bezprzewodowej (IEEE 802.11) systemu Windows Vista.

      Uwaga

      Po wybraniu ustawienia WPA2 są dostępne dodatkowe ustawienia dotyczące szybkiego roamingu. W przypadku większości wdrożeń domyślne ustawienia szybkiego roamingu są wystarczające.

  3. Kliknij kartę IEEE 802.1X. W obszarze Typ protokołu EAP jest domyślnie wybrana opcja Chroniony protokół EAP (PEAP).

    Pozostałe domyślne ustawienia na karcie IEEE 802.1X są wystarczające dla większości wdrożeń sieci bezprzewodowych.

  4. Kliknij przycisk Ustawienia. W oknie dialogowym Właściwości chronionego protokołu EAP wykonaj następujące czynności:

    1. Zaznacz pole wyboru Weryfikuj certyfikat serwera.

    2. Aby określić serwery RADIUS (Remote Authentication Dial-In User Service), których muszą używać na potrzeby uwierzytelniania i autoryzacji klienci z dostępem przewodowym, w obszarze Połącz tylko z tymi serwerami wpisz nazwę każdego serwera RADIUS, dokładnie tak, jak widnieje ona w polu podmiotu certyfikatu serwera. Poszczególne nazwy serwerów RADIUS oddzielaj średnikami.

    3. Z listy Zaufane główne urzędy certyfikacji wybierz zaufany główny urząd certyfikacji, który wystawił certyfikat serwera dla używanego serwera NPS.

      Uwaga

      To ustawienie pozwala ograniczyć do wybranych wartości zaufane główne urzędy certyfikacji, którym ufają klienci. Jeśli nie zostanie wybrany żaden zaufany główny urząd certyfikacji, klienci będą ufać wszystkim zaufanym głównym urzędom certyfikacji w ich magazynach zaufanych głównych urzędów certyfikacji.

    4. W celu zwiększenia bezpieczeństwa i wygody użytkowników zaznacz pole wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji.

    5. W obszarze Wybierz metodę uwierzytelniania wybierz pozycję Karta inteligentna lub inny certyfikat.

    6. Aby włączyć funkcję szybkiego ponownego nawiązywania połączenia przy użyciu protokołu PEAP, zaznacz pole wyboru Włącz szybkie łączenie ponowne.

    7. Aby określić, że przed zezwoleniem na nawiązywanie połączeń z siecią ochrona dostępu do sieci (NAP) ma przeprowadzać sprawdzanie kondycji systemu na klientach w celu zagwarantowania, że zostały spełnione wymagania dotyczące kondycji, wybierz opcję Wymuś ochronę dostępu do sieci.

    8. Aby ustawić wymaganie obiektu powiązania kryptograficznego TLV (Type-Length Value), zaznacz pole wyboru Rozłącz, jeśli serwer nie przedstawi obiektu TLV powiązania kryptograficznego.

    9. W celu skonfigurowania klientów w taki sposób, aby nie wysyłali swojej tożsamości zwykłym tekstem przed uwierzytelnieniem serwera RADIUS, wybierz opcję Włącz prywatność tożsamości, a następnie w polu Tożsamość anonimowa wpisz nazwę lub wartość albo pozostaw to pole puste.

      Jeśli na przykład opcja Włącz prywatność tożsamości jest włączona, a jako wartość tożsamości anonimowej używany jest ciąg „gość”, odpowiedzią na tożsamość użytkownika alicja@obszar jest gość@obszar. Jeśli zostanie wybrana opcja Włącz prywatność tożsamości, ale nie zostanie podana wartość tożsamości anonimowej, odpowiedź na tożsamość to @obszar.

    10. Aby skonfigurować właściwości protokołu PEAP-TLS, kliknij przycisk Konfiguruj, a następnie w oknie Właściwości karty inteligentnej lub innego certyfikatu skonfiguruj stosownie do potrzeb następujące pozycje:

      • W obszarze Podczas łączenia wybierz opcję Użyj mojej karty inteligentnej lub wybierz opcje Użyj certyfikatu na tym komputerze i Użyj prostego wyboru certyfikatu (zalecane).

      • Aby określić wymaganie sprawdzania certyfikatu serwera NPS przez klientów uzyskujących dostęp, wybierz opcję Weryfikuj certyfikat serwera.

      • Aby określić serwery usługi RADIUS, których muszą używać na potrzeby uwierzytelniania i autoryzacji klienci z dostępem przewodowym, w obszarze Połącz tylko z tymi serwerami wpisz nazwę każdego serwera usługi RADIUS, dokładnie tak, jak widnieje ona w polu podmiotu certyfikatu danego serwera. Poszczególne nazwy serwerów usługi RADIUS oddzielaj średnikami.

      • W obszarze Zaufane główne urzędy certyfikacji wybierz urząd certyfikacji, który wystawił certyfikaty serwerów NPS działających w sieci.

      • Aby wskazać, że klienci korzystają z innej nazwy przy próbach uzyskania dostępu, wybierz opcję Użyj innej nazwy użytkownika dla połączenia.

      • Aby zapobiec wyświetlaniu użytkownikom monitu o zaufanie certyfikatowi serwera, jeśli certyfikat jest niewłaściwie skonfigurowany, nie jest jeszcze zaufany lub jeśli zachodzą obie te okoliczności, zaznacz pole wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji (zalecane).

      • Kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości karty inteligentnej lub innego certyfikatu, a następnie ponownie kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości chronionego protokołu EAP (PEAP), co spowoduje powrót do okna dialogowego Właściwości: Nowe zasady sieci przewodowej systemu Vista.

Spis treści