Tímto postupem lze nakonfigurovat profil protokolu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) pro ověřování pomocí čipových karet a dalších certifikátů.
Minimálním požadavkem k provedení tohoto postupu je členství ve skupině Domain Admins nebo ekvivalentní oprávnění.
Konfigurace bezdrátového profilu EAP-TLS pro počítače se systémem Windows Vista |
Otevřete dialogové okno Nové zásady bezdrátové sítě (IEEE 802.11) - vlastnosti.
Na kartě Obecné zadejte do pole Název zásady nový název zásady nebo ponechte výchozí název.
Do pole Popis zadejte popis zásady.
Zaškrtněte políčko Konfigurovat nastavení bezdrátové sítě klientů pomocí systému Windows a určete tak, že se ke konfiguraci nastavení adaptéru bezdrátové sítě používá služba Automatická konfigurace sítě WLAN.
Na kartě Obecné proveďte jednu z následujících akcí:
Chcete-li přidat a konfigurovat nový profil, klikněte na tlačítko Přidat a potom vyberte možnost Infrastruktura.
Chcete-li upravit existující profil, vyberte jej a potom klikněte na tlačítko Upravit.
Pokud přidáváte nový profil, zadejte na kartě Připojení do pole Název profilu název pro nový profil. Pokud upravujete existující profil, použijte jeho stávající název nebo upravte tento název podle potřeby.
Do pole Názvy sítě (SSID) zadejte identifikátor SSID (Service Set Identifier) pro bezdrátový přístupový bod a potom klikněte na tlačítko Přidat.
Pokud daná instalace používá více identifikátorů SSID a každý bezdrátový přístupový bod používá stejné nastavení zabezpečení bezdrátové sítě, přidejte opakováním tohoto kroku identifikátor SSID pro každý bezdrátový přístupový bod, u kterého chcete použít tento profil.
Pokud daná instalace používá více identifikátorů SSID, ale nastavení zabezpečení pro všechny identifikátory SSID nejsou shodná, nakonfigurujte pro každou skupinu identifikátorů SSID, které používají stejné nastavení zabezpečení, samostatný profil. Je-li například jedna skupina bezdrátových přístupových bodů nakonfigurována tak, aby používala nastavení WPA2-podnikové a AES, ale jiná skupina bezdrátových přístupových bodů tak, aby používala nastavení WPA-podnikové a TKIP, nakonfigurujte pro každou skupinu bezdrátových přístupových bodů jiný profil.
Chcete-li určit, aby se bezdrátoví klienti automaticky připojovali k bezdrátovým přístupovým bodům, pro které je v poli Názvy sítě (SSID) zadán identifikátor SSID, zaškrtněte políčko Připojit automaticky, pokud je tato síť v dosahu.
Chcete-li určit, aby se bezdrátoví klienti připojovali k sítím v pořadí podle preference, zaškrtněte políčko Připojit k preferovanější síti, pokud je k dispozici.
Pokud jste nasadili bezdrátové přístupové body, které jsou nakonfigurovány tak, aby potlačovaly signál vysílání, zaškrtněte políčko Připojit, i když síť právě nevysílá.
Zabezpečení - Poznámka Povolením této možnosti může dojít k ohrožení zabezpečení, protože bezdrátoví klienti se pokusí o připojení k libovolné bezdrátové síti. Ve výchozím nastavení tato možnost není povolena.
Klikněte na kartu Zabezpečení. Ve skupině Vybrat metody zabezpečení pro tuto síť vyberte pro položku Ověřování možnost WPA2-podnikové, pokud je podporována bezdrátovým přístupovým bodem a síťovými adaptéry bezdrátových klientů. V opačném případě vyberte možnost WPA-podnikové.
Poznámka Vyberete-li možnost WPA2, zobrazí se nastavení pro Rychlý roaming, které není zobrazeno, pokud je vybrána možnost WPA. Výchozí nastavení pro Rychlý roaming je postačující pro většinu nasazení bezdrátových sítí.
V části Šifrování vyberte možnost AES, pokud je podporována bezdrátovým přístupovým bodem a síťovými adaptéry bezdrátových klientů. V opačném případě vyberte možnost TKIP.
Poznámka Nastavení pro Ověřování a Šifrování se musí shodovat s nastavením nakonfigurovaným v bezdrátovém přístupovém bodě.
V části Vyberte metodu ověřování v síti zvolte možnost Microsoft: Čipová karta nebo jiný certifikát.
V části Režim ověřování vyberte podle potřeby některou z následujících možností: Ověření uživatele nebo počítače, Ověření počítače, Ověření uživatele, Ověření hosta. Ve výchozím nastavení je vybrána možnost Ověření uživatele nebo počítače.
V části Maximum nezdařených ověření zadejte maximální povolený počet nezdařených ověření před upozorněním uživatele na to, že se ověření nezdařilo. Výchozí nastavená hodnota je 1.
Chcete-li, aby pověření uživatele byla uložena do mezipaměti, zaškrtněte políčko Ukládat informace o uživateli do mezipaměti pro další připojování k této síti.
Klikněte na tlačítko Upřesnit a pak nakonfigurujte následující nastavení:
Chcete-li konfigurovat rozšířené nastavení protokolu 802.1X, v části IEEE 802.1x zaškrtněte políčko Vynutit rozšířené nastavení protokolu 802.1X a podle potřeby nakonfigurujte následující nastavení: Maximální počet zpráv o spuštění služby EAPOL, Pozdržení (v sekundách), Spouštění (v sekundách) a Ověřování (v sekundách).
Při vynucení rozšířených nastavení protokolu 802.1X budou výchozí hodnoty dostatečné pro většinu bezdrátových nasazení.
Chcete-li povolit jednotné přihlašování, zaškrtněte políčko Povolit pro tuto síť jednotné přihlášení.
Chcete-li zadat, kdy má k jednotnému přihlašování docházet, vyberte podle potřeby možnost Provádět bezprostředně před přihlášením uživatele nebo Provádět ihned po přihlášení uživatele.
Zbývající výchozí hodnoty ve skupině Jednotné přihlášení jsou dostačující pro typická bezdrátová nasazení.
Chcete-li zadat maximální dobu v sekundách, během které musí ověřování podle standardu 802.1X skončit a musí být autorizován přístup k síti, zadejte potřebnou hodnotu do pole Maximální zpoždění připojení (sekundy).
Chcete-li povolit zobrazování dialogů během jednotného přihlašování, zaškrtněte políčko Umožnit zobrazení dalších dialogových oken při jednotném přihlašování.
Chcete-li určit, že bezdrátové počítače budou při spuštění umístěny v jedné virtuální místní síti (VLAN) a po přihlášení uživatele k počítači budou přesunuty do jiné sítě, zaškrtněte políčko Síť používá k ověření počítače a uživatelských pověření jinou síť VLAN.
Chcete-li povolit Rychlý roaming, zaškrtněte ve skupině Rychlý roaming políčko Povolit ukládání klíče PMK (Pairwise Master Key) do mezipaměti. Výchozí hodnoty položek Doba životnosti klíče PMK (minuty) a Počet položek v mezipaměti klíče PMK jsou pro Rychlý roaming obvykle dostačující.
Pokud je bezdrátový přístupový bod nakonfigurován pro předběžné ověření, zaškrtněte políčko Síť používá předběžné ověření. Výchozí hodnota položky Maximální počet pokusů o předběžné ověření je 3 a je obvykle dostačující.
Chcete-li zadat šifrování, které používá certifikovaný režim FIPS 140-2, zaškrtněte políčko Provést šifrování v certifikovaném režimu FIPS 140-2.
Klikněte na příkaz Vlastnosti. V dialogovém okně Vlastnosti čipové karty nebo jiného certifikátu vyberte ve skupině Pro připojení buď možnost Použít čipovou kartu, nebo vyberte obě tyto možnosti: Použít certifikát v tomto počítači a Použít zjednodušený výběr certifikátu (doporučeno).
Pokud chcete vyžadovat, aby přístupoví klienti ověřovali certifikát serveru NPS (Network Policy Server), zaškrtněte políčko Ověřit certifikát serveru.
Chcete-li určit, které servery RADIUS (Remote Authentication Dial-In User Service) budou muset klienti s drátovým přístupem používat k ověřování a autorizaci, zaškrtněte políčko Připojit k těmto serverům a zadejte název každého požadovaného serveru RADIUS přesně tak, jak je uveden v poli subjektu certifikátu serveru. Jednotlivé názvy serverů RADIUS oddělujte středníkem.
V části Důvěryhodné kořenové certifikační úřady vyberte důvěryhodnou kořenovou certifikační autoritu (CA), která vydala certifikáty pro vaše servery, na kterých je spuštěn server NPS.
Chcete-li určit, aby klienti používali při pokusu o přístup alternativní jméno, zaškrtněte políčko Pro připojení použít jiné uživatelské jméno.
Chcete-li zlepšit zabezpečení a zjednodušit uživatelské rozhraní, zaškrtněte políčko Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů.
Kliknutím na tlačítko OK zavřete dialogové okno Vlastnosti čipové karty nebo jiného certifikátu a vrátíte se do dialogového okna Nové zásady bezdrátové sítě - vlastnosti.