Tímto postupem lze nakonfigurovat profil protokolu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) pro ověřování pomocí čipových karet a dalších certifikátů.

Minimálním požadavkem k provedení tohoto postupu je členství ve skupině Domain Admins nebo ekvivalentní oprávnění.

Konfigurace profilu EAP-TLS pro drátová připojení

  1. Na kartě Obecné proveďte tyto akce:

    1. V možnosti Název zásady zadejte název zásady pevné sítě.

    2. Do pole Popis zadejte stručný popis zásady.

    3. Ujistěte se, že je zaškrtnuto políčko Používat pro klienty službu Wired AutoConfig Service systému Windows.

    4. Chcete-li uživatelům počítačů se systémem Windows 7 povolit zadávání a ukládání pověření pro doménu (uživatelských jmen a hesel), která pak bude moci počítač používat pro přihlášení k síti (i když uživatel nebude aktivně přihlášen), zaškrtněte ve skupinovém rámečku Nastavení zásad systému Windows 7 políčko Povolit explicitní pověření.

    5. Chcete-li zadat dobu, po kterou bude počítačům se systémem Windows 7 zakázáno provádět pokusy o automatické připojení k síti, zaškrtněte políčko Povolit dobu blokování a pak zadejte v poli Doba blokování (minuty) počet minut platnosti doby blokování. Platné rozmezí je 1 až 60 minut.

      Poznámka

      Další informace o nastaveních na jednotlivých kartách získáte stisknutím klávesy F1 během zobrazení dané karty.

  2. Na kartě Zabezpečení proveďte tyto akce:

    1. Zaškrtněte políčko Povolit ověřování přístupu k síti protokolem IEEE 802.1X.

    2. V části Vyberte metodu ověřování v síti zvolte možnost Čipová karta nebo jiný certifikát.

    3. V části Režim ověřování vyberte podle potřeby některou z následujících možností: Ověření uživatele nebo počítače, Ověření počítače, Ověření uživatele, Ověření hosta. Ve výchozím nastavení je vybrána možnost Ověření uživatele nebo počítače.

    4. V části Maximum nezdařených ověření zadejte maximální povolený počet nezdařených ověření před upozorněním uživatele na to, že se ověření nezdařilo. Výchozí nastavená hodnota je 1.

    5. Chcete-li, aby pověření uživatele byla uložena do mezipaměti, zaškrtněte políčko Ukládat informace o uživateli do mezipaměti pro další připojování k této síti.

  3. Chcete-li konfigurovat jednotné přihlašování nebo rozšířené nastavení protokolu 802.1X, klikněte na kartu Upřesnit. Na kartě Upřesnit proveďte následující akce:

    1. Chcete-li konfigurovat rozšířené nastavení protokolu 802.1X, zaškrtněte políčko Vynutit rozšířené nastavení protokolu 802.1X a proveďte - pouze nezbytné - úpravy nastavení pro: Maximální počet zpráv o spuštění služby EAPOL, Pozdržení (v sekundách), Spouštění (v sekundách), Ověřování (v sekundách), Zpráva o spuštění služby EAPOL.

    2. Chcete-li konfigurovat jednotné přihlašování, zaškrtněte políčko Povolit pro tuto síť jednotné přihlášení a potom podle potřeby upravte nastavení pro následující možnosti:

      • Provádět bezprostředně před přihlášením uživatele

      • Provádět ihned po přihlášení uživatele

      • Maximální zpoždění připojení (sekundy)

      • Umožnit zobrazení dalších dialogových oken při jednotném přihlašování

      • Síť používá k ověření počítače a uživatelských pověření jinou síť VLAN

  4. Klikněte na tlačítko OK. Dialogové okno Upřesnit nastavení zabezpečení se zavře, a vrátíte se tak na kartu Zabezpečení. Na kartě Zabezpečení klikněte na tlačítko Vlastnosti. Otevře se dialogové okno Vlastnosti čipové karty nebo jiného certifikátu.

  5. V dialogovém okně Vlastnosti čipové karty nebo jiného certifikátu proveďte následující akce:

    1. Ve skupině Pro připojení vyberte buď možnost Použít čipovou kartu, nebo vyberte obě tyto možnosti: Použít certifikát v tomto počítači a Použít zjednodušený výběr certifikátu (doporučeno).

    2. Zaškrtněte políčko Ověřit certifikát serveru.

    3. Chcete-li určit, které servery RADIUS (Remote Authentication Dial-In User Service) budou muset klienti s drátovým přístupem používat k ověřování a autorizaci, zaškrtněte políčko Připojit k těmto serverům a zadejte název každého požadovaného serveru RADIUS přesně tak, jak je uveden v poli subjektu certifikátu serveru. Jednotlivé názvy serverů RADIUS oddělujte středníkem.

    4. V části Důvěryhodné kořenové certifikační úřady vyberte důvěryhodnou kořenovou certifikační autoritu (CA), která vydala certifikát serveru pro váš server NPS (Network Policy Server).

      Poznámka

      Toto nastavení vymezuje, které kořenové certifikační autority jsou pro klienty důvěryhodné. Nejsou-li vybrány žádné důvěryhodné kořenové certifikační autority, budou klienti důvěřovat všem důvěryhodným kořenovým certifikačním autoritám ve svém úložišti důvěryhodných kořenových certifikačních autorit.

    5. Chcete-li určit, aby klienti používali při pokusu o přístup alternativní jméno, zaškrtněte políčko Pro připojení použít jiné uživatelské jméno.

    6. Chcete-li zlepšit zabezpečení a zjednodušit uživatelské rozhraní, zaškrtněte políčko Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů.

    7. Kliknutím na tlačítko OK uložte nastavení v okně Vlastnosti čipové karty nebo jiného certifikátu. Opětovným kliknutím na tlačítko OK se vrátíte do dialogového okna Nové zásady drátové sítě - vlastnosti.

Obsah