Tímto postupem lze nakonfigurovat bezdrátový profil protokolu PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol verze 2).

Minimálním požadavkem k provedení tohoto postupu je členství ve skupině Domain Admins nebo ekvivalentní oprávnění.

Konfigurace bezdrátového profilu protokolu PEAP-MS-CHAP v2 pro počítače se systémy Windows 7 a Windows Vista
  1. Otevřete dialogové okno Nové zásady bezdrátové sítě (IEEE 802.11) - vlastnosti.

  2. Na kartě Obecné zadejte do pole Název zásady nový název zásady nebo ponechte výchozí název.

  3. Do pole Popis zadejte popis zásady.

  4. Zaškrtněte políčko Konfigurovat nastavení bezdrátové sítě klientů pomocí systému Windows, a určete tak, že se ke konfiguraci nastavení adaptéru bezdrátové sítě používá služba Automatická konfigurace sítě WLAN.

  5. Na kartě Obecné proveďte jednu z následujících akcí:

    • Chcete-li přidat a konfigurovat nový profil, klikněte na tlačítko Přidat a potom vyberte možnost Infrastruktura.

    • Chcete-li upravit existující profil, vyberte jej a potom klikněte na tlačítko Upravit.

  6. Pokud přidáváte nový profil, zadejte na kartě Připojení do pole Název profilu název pro nový profil. Pokud upravujete existující profil, použijte jeho stávající název nebo upravte tento název podle potřeby.

  7. Do pole Názvy sítě (SSID) zadejte identifikátor SSID (Service Set Identifier) pro bezdrátový přístupový bod a potom klikněte na tlačítko Přidat.

    Pokud daná instalace používá více identifikátorů SSID a každý bezdrátový přístupový bod používá stejné nastavení zabezpečení bezdrátové sítě, přidejte opakováním tohoto kroku identifikátor SSID pro každý bezdrátový přístupový bod, u kterého chcete použít tento profil.

    Pokud daná instalace používá více identifikátorů SSID, ale nastavení zabezpečení pro všechny identifikátory SSID nejsou shodná, nakonfigurujte pro každou skupinu identifikátorů SSID, které používají stejné nastavení zabezpečení, samostatný profil. Je-li například jedna skupina bezdrátových přístupových bodů nakonfigurována tak, aby používala nastavení WPA2-podnikové a AES, ale jiná skupina bezdrátových přístupových bodů tak, aby používala nastavení WPA-podnikové a TKIP, nakonfigurujte pro každou skupinu bezdrátových přístupových bodů jiný profil.

  8. Chcete-li určit, aby se bezdrátoví klienti automaticky připojovali k bezdrátovým přístupovým bodům, pro které je v poli Názvy sítě (SSID) zadán identifikátor SSID, zaškrtněte políčko Připojit automaticky, pokud je tato síť v dosahu.

  9. Chcete-li určit, aby se bezdrátoví klienti připojovali k sítím v pořadí podle preference, zaškrtněte políčko Připojit k preferovanější síti, pokud je k dispozici.

  10. Pokud jste nasadili bezdrátové přístupové body, které jsou nakonfigurovány tak, aby potlačovaly signál vysílání, zaškrtněte políčko Připojit, i když síť právě nevysílá.

    Zabezpečení - Poznámka

    Povolením této možnosti může dojít k ohrožení zabezpečení, protože bezdrátoví klienti se pokusí o připojení k libovolné bezdrátové síti. Ve výchozím nastavení tato možnost není povolena.

  11. Klikněte na kartu Zabezpečení. Ve skupině Vybrat metody zabezpečení pro tuto síť, vyberte pro položku Ověřování možnost WPA2-podnikové, pokud je podporována bezdrátovým přístupovým bodem a síťovými adaptéry bezdrátových klientů. V opačném případě vyberte možnost WPA-podnikové.

    Poznámka

    Vyberete-li možnost WPA2, zobrazí se nastavení pro Rychlý roaming, které není zobrazeno, pokud je vybrána možnost WPA. Výchozí nastavení pro Rychlý roaming je postačující pro většinu nasazení bezdrátových sítí.

  12. V části Šifrování vyberte možnost AES, pokud je podporována bezdrátovým přístupovým bodem a síťovými adaptéry bezdrátových klientů. V opačném případě vyberte možnost TKIP.

    Poznámka

    Nastavení pro Ověřování a Šifrování se musí shodovat s nastavením nakonfigurovaným v bezdrátovém přístupovém bodě.

  13. V části Vyberte metodu ověřování v síti vyberte možnost Protokol PEAP (Protected EAP).

  14. V části Režim ověřování vyberte podle potřeby některou z následujících možností: Ověření uživatele nebo počítače, Ověření počítače, Ověření uživatele, Ověření hosta. Ve výchozím nastavení je vybrána možnost Ověření uživatele nebo počítače.

  15. V části Maximum nezdařených ověření zadejte maximální povolený počet nezdařených ověření před upozorněním uživatele na to, že se ověření nezdařilo. Výchozí nastavená hodnota je 1.

  16. Chcete-li, aby pověření uživatele byla uložena do mezipaměti, zaškrtněte políčko Ukládat informace o uživateli do mezipaměti pro další připojování k této síti.

  17. Klikněte na tlačítko Upřesnit a pak nakonfigurujte následující nastavení:

    1. Chcete-li konfigurovat rozšířené nastavení protokolu 802.1X, v části IEEE 802.1x zaškrtněte políčko Vynutit rozšířené nastavení protokolu 802.1X a podle potřeby nakonfigurujte následující nastavení: Maximální počet zpráv o spuštění služby EAPOL, Pozdržení (v sekundách), Spouštění (v sekundách) a Ověřování (v sekundách.

      Při vynucení rozšířených nastavení protokolu 802.1X budou výchozí hodnoty dostatečné pro většinu bezdrátových nasazení.

    2. Chcete-li povolit jednotné přihlašování, zaškrtněte políčko Povolit pro tuto síť jednotné přihlášení.

    3. Chcete-li zadat, kdy má k jednotnému přihlašování docházet, vyberte podle potřeby možnost Provádět bezprostředně před přihlášením uživatele nebo Provádět ihned po přihlášení uživatele.

      Zbývající výchozí hodnoty ve skupině Jednotné přihlášení jsou dostačující pro typická bezdrátová nasazení.

    4. Chcete-li zadat maximální dobu v sekundách, během které musí ověřování podle standardu 802.1X skončit a musí být autorizován přístup k síti, zadejte potřebnou hodnotu do pole Maximální zpoždění připojení (sekundy).

    5. Chcete-li povolit zobrazování dialogů během jednotného přihlašování, zaškrtněte políčko Umožnit zobrazení dalších dialogových oken při jednotném přihlašování.

    6. Chcete-li určit, že bezdrátové počítače budou při spuštění umístěny v jedné virtuální místní síti (VLAN) a po přihlášení uživatele k počítači budou přesunuty do jiné sítě, zaškrtněte políčko Síť používá k ověření počítače a uživatelských pověření jinou síť VLAN.

    7. Chcete-li povolit Rychlý roaming, zaškrtněte ve skupině Rychlý roaming políčko Povolit ukládání klíče PMK (Pairwise Master Key) do mezipaměti. Výchozí hodnoty položek Doba životnosti klíče PMK (minuty) a Počet položek v mezipaměti klíče PMK jsou pro Rychlý roaming obvykle dostačující.

    8. Pokud je bezdrátový přístupový bod nakonfigurován pro předběžné ověření, zaškrtněte políčko Síť používá předběžné ověření. Výchozí hodnota položky Maximální počet pokusů o předběžné ověření je 3 a je obvykle dostačující.

    9. Chcete-li zadat šifrování, které používá certifikovaný režim FIPS 140-2, zaškrtněte políčko Provést šifrování v certifikovaném režimu FIPS 140-2.

  18. Kliknutím na tlačítko OK uložte nastavení a vraťte se na kartu Zabezpečení.

  19. Klikněte na příkaz Vlastnosti. Otevře se dialogové okno Vlastnosti protokolu Protected EAP.

  20. V dialogovém okně Vlastnosti protokolu Protected EAP ověřte, zda je zaškrtnuto políčko Ověřit certifikát serveru.

  21. V části Důvěryhodné kořenové certifikační autority vyberte důvěryhodnou kořenovou certifikační autoritu (CA), která vydala certifikát serveru pro váš server NPS (Network Policy Server).

    Poznámka

    Toto nastavení vymezuje, které kořenové certifikační autority jsou pro klienty důvěryhodné. Nejsou-li vybrány žádné důvěryhodné kořenové certifikační autority, budou klienti důvěřovat všem důvěryhodným kořenovým certifikačním autoritám ve svém úložišti důvěryhodných kořenových certifikačních autorit.

  22. Chcete-li určit, které servery RADIUS (Remote Authentication Dial-In User Service) budou muset klienti s drátovým přístupem používat k ověřování a autorizaci, zaškrtněte políčko Připojit k těmto serverům a zadejte název každého požadovaného serveru RADIUS přesně tak, jak je uveden v poli subjektu certifikátu serveru. Jednotlivé názvy serverů RADIUS oddělujte středníkem.

  23. Chcete-li zlepšit zabezpečení a zjednodušit uživatelské rozhraní, zaškrtněte políčko Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů.

  24. V seznamu Vyberte metodu ověřování vyberte položku Zabezpečené heslo (EAP-MSCHAP v2).

  25. Chcete-li povolit rychlé obnovení připojení protokolu PEAP, zaškrtněte políčko Povolit rychlé obnovení připojení.

  26. Chcete-li vyžadovat, aby architektura NAP (Network Access Protection) kontrolovala stav klientů a zjišťovala, zda splňují požadavky na stav, předtím, než jim bude povoleno připojení k síti, zaškrtněte políčko Vynutit architekturu NAP (Network Access Protection).

  27. Chcete-li vyžadovat hodnotu TLV (Type-Length-Value) kryptografických vazeb, zaškrtněte políčko Odpojit, nenabízí-li server metodu kryptovazeb TLV.

  28. Chcete-li nakonfigurovat klienty tak, aby do doby, dokud neověří server RADIUS, neodesílali svou identitu v nezašifrované podobě, zaškrtněte políčko Povolit osobní údaje identity a zadejte do pole Anonymní identita jméno či hodnotu nebo ponechte toto pole prázdné.

    Je-li například políčko Povolit osobní údaje identity zaškrtnuté a jako anonymní identitu použijete hodnotu guest, bude odpovědí identity pro uživatele s identitou alice@realm toto: guest@realm. Pokud políčko Povolit osobní údaje identity zaškrtnete, ale nezadáte hodnotu anonymní identity, bude odpověď identity tato: @realm.

  29. Klikněte na tlačítko Konfigurovat. V dialogovém okně Vlastnosti protokolu EAP MSCHAPv2 ověřte, zda je zaškrtnuto políčko Automaticky použít mé uživatelské jméno a heslo (a doménu, pokud existuje) pro přihlášení k systému Windows, klikněte na tlačítko OK a dalším kliknutím na tlačítko OK zavřete okno Vlastnosti protokolu Protected EAP.

  30. Kliknutím na tlačítko OK uložte nastavení a zavřete kartu Zabezpečení. Dalším kliknutím na tlačítko OK zavřete okno Zásada bezdrátové sítě systému Vista.


Obsah