Use este procedimento para configurar um perfil pra autenticação EAP-TLS (Protocolo de Autenticação Extensível–Segurança de Camada de Transporte) que utilize cartões inteligentes ou outros certificados.
Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento.
 | Para configurar um perfil EAP-TLS para conexões com fio |
Na guia Geral, siga um destes procedimentos:
-
Em Nome da Diretiva, digite um nome para a diretiva de rede com fio.
-
Em Descrição, digite uma breve descrição da diretiva.
-
Verifique se a opção Usar serviço de Configuração Automática com Fio do Windows para clientes está selecionada.
- Para permitir que os usuários com computadores executando Windows 7 digitem e armazenem suas credenciais de domínio (nome de usuário e senha), que o computador pode usar para fazer logon na rede (mesmo se o usuário não estiver ativamente conectado), em Configurações de diretiva do Windows 7, selecione Habilitar Credenciais Explícitas.
- Para especificar o período no qual os computadores que estiverem executando Windows 7 estão proibidos de fazerem tentativas de conexão automática à rede, selecione Ativar Período de Bloqueio e em Período de Bloqueio (minutos), especifique por quantos minutos você deseja que o período de bloqueio seja aplicado. O intervalo válido é de 1 a 60 minutos.
Observação Para obter mais informações sobre as configurações em qualquer guia, pressione F1 enquanto visualiza a guia.
-
Em Nome da Diretiva, digite um nome para a diretiva de rede com fio.
Na guia Segurança, faça o seguinte:
-
Selecione Habilitar o uso da autenticação IEEE 802.1X para acesso à rede.
-
Em Selecionar método de autenticação de rede, selecione Cartão Inteligente ou outro certificado.
-
Em Modo de autenticação, selecione uma das seguintes opções, de acordo com as suas necessidades: Autenticação de Usuário ou Computador, Autenticação de computador, Autenticação de usuário, Autenticação de convidado. Por padrão, Autenticação de Computador ou Usuário é selecionado.
-
Em Máximo de Falhas de Autenticação, especifique o número máximo permitido de tentativas malsucedidas antes de o usuário ser notificado que houve falha na autenticação. Por padrão, o valor é definido em "1".
-
Para especificar que as credenciais de usuário são mantidas em cache, selecione Armazenar em cache informações de usuário para conexões futuras a esta rede.
-
Selecione Habilitar o uso da autenticação IEEE 802.1X para acesso à rede.
Para definir o logon único ou as configurações 802.1X avançadas, clique em Avançado. Na guia Avançado, faça o seguinte:
-
Para definir as configurações 802.1X avançadas, selecione Aplicar configurações 802.1X avançadas e modifique — apenas quando necessário — as configurações de: Máximo de Eapol-Msg. de Início, Período de Retenção, Período Inicial, Período de Autenticação, EAPOL - Mensagem de Início.
-
Para configurar o logon único, selecione Habilitar Logon Único para esta rede e modifique — conforme necessário — as configurações de:
- Executar imediatamente antes Logon do Usuário
- Executar imediatamente após Logon do Usuário
- Atraso máximo para conectividade
- Permitir que caixas de diálogo adicionais sejam exibidas durante o Logon Único
- Esta rede usa VLANs diferentes para autenticação com credenciais de máquina e de usuário
- Executar imediatamente antes Logon do Usuário
-
Para definir as configurações 802.1X avançadas, selecione Aplicar configurações 802.1X avançadas e modifique — apenas quando necessário — as configurações de: Máximo de Eapol-Msg. de Início, Período de Retenção, Período Inicial, Período de Autenticação, EAPOL - Mensagem de Início.
Clique em OK. A caixa de diálogo Configurações de Segurança Avançadas se fecha e o retorna para a guia Segurança. Na guia Segurança, clique em Propriedades. A caixa de diálogo Propriedades do Cartão Inteligente ou outro Certificado é aberta.
Na caixa de diálogo Propriedades do Cartão Inteligente ou outro Certificado, faça o seguinte:
- Em Ao conectar, selecione Usar meu cartão inteligente ou selecione Usar um certificado nesse computador e Usar seleção de certificado simples (Recomendado).
- Selecione Validar certificado do servidor.
- Para especificar quais servidores RADIUS seus clientes de acesso com fio devem utilizar para autenticação e autorização, em Conectar-se a estes servidores, digite o nome de cada servidor RADIUS, exatamente como aparece no campo assunto do certificado do servidor. Utilize ponto e vírgula para especificar vários nomes de servidor RADIUS.
-
Em Autoridades de Certificação Raiz Confiáveis, selecione a autoridade de certificação raiz confiável que emitiu o certificado de servidor para o Servidor de Diretivas de Rede (NPS).
Observação Essa configuração limita aos valores selecionados as autoridades de certificação raiz confiáveis nas quais os clientes confiam. Se nenhuma autoridade de certificação raiz confiável for selecionada, os clientes confiarão em todas que estiverem no armazenamento de autoridades de certificação raiz confiáveis.
- Para especificar que clientes usem um nome alternativo para a tentativa de acesso, selecione Usar um nome de usuário diferente para a conexão.
- Para melhoria na segurança e uma melhor experiência de usuário, selecione Não solicitar ao usuário autorização para novos servidores ou autoridades de certificação confiáveis.
-
Clique em OK para salvar as configurações de Propriedades do Cartão Inteligente ou outro Certificado. Clique em OK novamente para retornar para a caixa de diálogo Propriedades da Nova Diretiva de Rede com Fio.
- Em Ao conectar, selecione Usar meu cartão inteligente ou selecione Usar um certificado nesse computador e Usar seleção de certificado simples (Recomendado).