Tímto postupem lze nakonfigurovat profil protokolu PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol verze 2) pro ověřování klientů pomocí zabezpečených hesel.

Minimálním požadavkem k provedení tohoto postupu je členství ve skupině Domain Admins nebo ekvivalentní oprávnění.

Konfigurace profilu pro drátová připojení protokolu PEAP-MS-CHAP v2
  1. Na kartě Obecné proveďte tyto akce:

    1. V možnosti Název zásady zadejte název zásady pevné sítě.

    2. Do pole Popis zadejte stručný popis zásady.

    3. Ujistěte se, že je zaškrtnuto políčko Používat pro klienty službu Wired AutoConfig Service systému Windows.

    4. Chcete-li uživatelům počítačů se systémem Windows 7 povolit zadávání a ukládání pověření pro doménu (uživatelských jmen a hesel), která pak bude moci počítač používat pro přihlášení k síti (i když uživatel nebude aktivně přihlášen), zaškrtněte ve skupinovém rámečku Nastavení zásad systému Windows 7 políčko Povolit explicitní pověření.

    5. Chcete-li zadat dobu, po kterou bude počítačům se systémem Windows 7 zakázáno provádět pokusy o automatické připojení k síti, zaškrtněte políčko Povolit dobu blokování a pak zadejte v poli Doba blokování (minuty) počet minut platnosti doby blokování. Platné rozmezí je 1 až 60 minut.

      Poznámka

      Další informace o nastaveních na jednotlivých kartách získáte stisknutím klávesy F1 během zobrazení dané karty.

  2. Na kartě Zabezpečení proveďte tyto akce:

    1. Zaškrtněte políčko Povolit ověřování přístupu k síti protokolem IEEE 802.1X.

    2. V části Vyberte metodu ověřování v síti vyberte možnost Protokol PEAP (Protected EAP).

    3. V části Režim ověřování vyberte podle potřeby některou z následujících možností: Ověření uživatele nebo počítače (doporučeno), Ověření počítače, Ověření uživatele, Ověření hosta. Ve výchozím nastavení je vybrána možnost Ověření uživatele nebo počítače.

    4. V části Maximum nezdařených ověření zadejte maximální povolený počet nezdařených ověření před upozorněním uživatele na to, že se ověření nezdařilo. Výchozí nastavená hodnota je 1.

    5. Chcete-li, aby pověření uživatele byla uložena do mezipaměti, zaškrtněte políčko Ukládat informace o uživateli do mezipaměti pro další připojování k této síti.

  3. Chcete-li konfigurovat jednotné přihlašování nebo rozšířené nastavení protokolu 802.1X, klikněte na kartu Upřesnit. Na kartě Upřesnit proveďte následující akce:

    1. Chcete-li konfigurovat rozšířené nastavení protokolu 802.1X, zaškrtněte políčko Vynutit rozšířené nastavení protokolu 802.1X a proveďte - pouze nezbytné - úpravy nastavení pro: Maximální počet zpráv o spuštění služby EAPOL, Pozdržení (v sekundách), Spouštění (v sekundách), Ověřování (v sekundách), Zpráva o spuštění služby EAPOL.

    2. Chcete-li konfigurovat jednotné přihlašování, zaškrtněte políčko Povolit pro tuto síť jednotné přihlášení a potom podle potřeby upravte nastavení pro následující možnosti:

      • Provádět bezprostředně před přihlášením uživatele

      • Provádět ihned po přihlášení uživatele

      • Maximální zpoždění připojení (sekundy)

      • Umožnit zobrazení dalších dialogových oken při jednotném přihlašování

      • Síť používá k ověření počítače a uživatelských pověření jinou síť VLAN

  4. Klikněte na tlačítko OK. Dialogové okno Upřesnit nastavení zabezpečení se zavře, a vrátíte se tak na kartu Zabezpečení. Na kartě Zabezpečení klikněte na tlačítko Vlastnosti. Otevře se dialogové okno Vlastnosti protokolu Protected EAP.

  5. V dialogovém okně Vlastnosti protokolu Protected EAP proveďte následující akce:

    1. Zaškrtněte políčko Ověřit certifikát serveru.

    2. Chcete-li určit, které servery RADIUS (Remote Authentication Dial-In User Service) budou muset klienti s drátovým přístupem používat k ověřování a autorizaci, zaškrtněte políčko Připojit k těmto serverům a zadejte název každého požadovaného serveru RADIUS přesně tak, jak je uveden v poli subjektu certifikátu serveru. Jednotlivé názvy serverů RADIUS oddělujte středníkem.

    3. V části Důvěryhodné kořenové certifikační autority vyberte důvěryhodnou kořenovou certifikační autoritu (CA), která vydala certifikát serveru pro váš server NPS (Network Policy Server).

      Poznámka

      Toto nastavení vymezuje, které kořenové certifikační autority jsou pro klienty důvěryhodné. Nejsou-li vybrány žádné důvěryhodné kořenové certifikační autority, budou klienti důvěřovat všem důvěryhodným kořenovým certifikačním autoritám ve svém úložišti důvěryhodných kořenových certifikačních autorit.

    4. Chcete-li zlepšit zabezpečení a zjednodušit uživatelské rozhraní, zaškrtněte políčko Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů.

    5. V seznamu Vyberte metodu ověřování vyberte položku Zabezpečené heslo (EAP-MSCHAP v2).

    6. Chcete-li povolit rychlé obnovení připojení protokolu PEAP, zaškrtněte políčko Povolit rychlé obnovení připojení.

    7. Chcete-li vyžadovat, aby architektura NAP (Network Access Protection) kontrolovala stav klientů a zjišťovala, zda splňují požadavky na stav, předtím, než jim bude povoleno připojení k síti, zaškrtněte políčko Vynutit architekturu NAP (Network Access Protection).

    8. Chcete-li vyžadovat hodnotu TLV (Type-Length-Value) kryptografických vazeb, zaškrtněte políčko Odpojit, nenabízí-li server metodu kryptovazeb TLV.

    9. Chcete-li nakonfigurovat klienty tak, aby do doby, dokud neověří server RADIUS, neodesílali svou identitu v nezašifrované podobě, zaškrtněte políčko Povolit osobní údaje identity a zadejte do pole Anonymní identita jméno či hodnotu nebo ponechte toto pole prázdné.

      Je-li například políčko Povolit osobní údaje identity zaškrtnuté a jako anonymní identitu použijete hodnotu guest, bude odpovědí identity pro uživatele s identitou alice@realm toto: guest@realm. Pokud políčko Povolit osobní údaje identity zaškrtnete, ale nezadáte hodnotu anonymní identity, bude odpověď identity tato: @realm.

    10. Kliknutím na tlačítko OK uložíte nastavení dialogového okna Vlastnosti protokolu Protected EAP. Dalším kliknutím na tlačítko OK uložíte zásadu.


Obsah