Use este procedimiento para configurar un perfil inalámbrico Protocolo de autenticación extensible protegido-Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (PEAP-MS-CHAP v2).

El mínimo requerido para completar este procedimiento es la pertenencia al grupo Domain Admins o un grupo equivalente.

Para configurar un perfil inalámbrico PEAP-MS-CHAP v2 para equipos que ejecutan Windows 7 y Windows Vista
  1. Abra el cuadro de diálogo de propiedades de nuevas directivas de redes inalámbricas (IEEE 802.11).

  2. En la ficha General, en Nombre de directiva, escriba un nuevo nombre para la directiva o deje el predeterminado.

  3. En Descripción, escriba una descripción de la directiva.

  4. Seleccione Use Windows para configurar los parámetros de clientes de red inalámbrica para especificar que se use Configuración automática de WLAN para configurar los ajustes del adaptador de red inalámbrico.

  5. En la ficha General, realice una de las acciones siguientes:

    • Para agregar y configurar un nuevo perfil, haga clic en Agregar y, a continuación, seleccione Infraestructura.

    • Para editar un perfil existente, seleccione el perfil que desea modificar y, a continuación, haga clic en Editar.

  6. En la ficha Conexión, en Nombre del perfil, si está agregando un nuevo perfil, escriba un nombre para el perfil. Si está editando un perfil ya agregado, use el nombre de perfil existente o modifique el nombre según sea necesario.

  7. En Nombre(s) de red (SSID), escriba el identificador de red (SSID) para sus AP inalámbricos y, a continuación, haga clic en Agregar.

    Si la implementación usa varios SSID y cada AP inalámbrico usa la misma configuración de seguridad inalámbrica, repita este paso para agregar el SSID para cada AP inalámbrico al que desea aplicar este perfil.

    Si la implementación usa varios SSID y la configuración de seguridad para cada SSID no coincide, configure un perfil independiente para cada grupo de SSID que use la misma configuración de seguridad. Por ejemplo, si tiene un grupo de AP inalámbricos configurados para usar WPA2-Enterprise y AES, y otro grupo de AP inalámbricos para usar WPA-Enterprise y TKIP, configure un perfil para cada grupo de AP inalámbricos.

  8. Para especificar que los clientes inalámbricos se conecten automáticamente a AP inalámbricos para los que el SSID está especificado en Nombre(s) de red (SSID), seleccione Conectar automáticamente cuando esta red esté en el alcance.

  9. Para especificar que los clientes inalámbricos se conecten a redes en orden de preferencia, seleccione Conectarse a una red preferida, si está disponible.

  10. Si ha implementado puntos de acceso inalámbrico configurados para suprimir la difusión de señales, seleccione Conectarse aunque la red no sea de difusión.

    Seguridad Nota

    Si se habilita esta opción se puede generar un riesgo de seguridad porque los clientes inalámbricos van a buscar e intentar conexiones con cualquier red inalámbrica. De forma predeterminada, esta opción no está habilitada.

  11. Haga clic en la ficha Seguridad. En Seleccionar los métodos de seguridad de red, en Autenticación, seleccione WPA2-Enterprise si los adaptadores de red de AP inalámbrico y cliente inalámbrico lo admiten. En caso contrario, seleccione WPA-Enterprise.

    Nota

    La selección de WPA2 expone la configuración de Movilidad rápida que no se muestra si WPA está seleccionada. La configuración predeterminada para Movilidad rápida es suficiente para la mayoría de implementaciones inalámbricas.

  12. En Cifrado, seleccione AES si sus adaptadores de red de AP inalámbrico y cliente inalámbrico lo admiten. De lo contrario, seleccione TKIP.

    Nota

    Las configuraciones de Autenticación y Cifrado deben coincidir con la configuración del AP inalámbrico.

  13. En Seleccione un método de autenticación de red, seleccione Microsoft: EAP protegido (PEAP).

  14. En Modo de autenticación, seleccione entre lo siguiente, según sus necesidades: Autenticación de usuarios y equipos, Autenticación de equipos, Autenticación del usuario, Autenticación de invitados. De manera predeterminada, la opción Autenticación de usuarios y equipos está seleccionada.

  15. En Nº máximo de errores de autenticación, especifique el número máximo de intentos incorrectos que se permiten antes de notificar al usuario el error de autenticación. De forma predeterminada, el valor se establece en “1”.

  16. Para especificar que las credenciales de usuario se guardan en la memoria caché, seleccione Almacenar en caché información de usuario sobre conexiones posteriores a esta red.

  17. Haga clic en Opciones avanzadas y, a continuación, configure lo siguiente:

    1. Para establecer la configuración 802.1X avanzada, en IEEE 802.1X, seleccione Aplicar configuración 802.1X avanzada y, a continuación, establezca la siguiente configuración, según sus necesidades: Nº máximo de mensajes EAPOL-Start, Período de retención, Período de inicio y Período de autenticación.

      Cuando se aplica la configuración avanzada de 802.1X, los valores predeterminados son suficientes para la mayoría de las implementaciones inalámbricas.

    2. Para habilitar el inicio de sesión único, seleccione Habilitar inicio de sesión único en esta red.

    3. Para especificar cuando se produce el inicio de sesión único, seleccione Realizar inmediatamente antes de que el usuario inicie sesión o Realizar inmediatamente después de que el usuario inicie sesión, en función de sus necesidades.

      Los valores predeterminados restantes de Inicio de sesión único son suficientes para las implementaciones inalámbricas típicas.

    4. Para especificar el intervalo máximo de tiempo, en segundos, en que se debe completar la autenticación 802.1X y autorizar el acceso a red, en Retraso máximo para conectividad (seg.), especifique un valor, en función de sus necesidades.

    5. Para permitir diálogos durante el inicio de sesión único, seleccione Permitir cuadros de diálogo adicionales durante el inicio de sesión único.

    6. Para especificar que los equipos inalámbricos se colocan en una red de área local virtual (VLAN) al inicio y, a continuación, realizan la transición a una red diferente después de que el usuario inicia una sesión en el equipo, seleccione Esta red usa diferentes VLAN para autenticarse con credenciales de equipo y de usuario.

    7. Para habilitar la Movilidad rápida, en Movilidad rápida, seleccione Habilitar Almacenamiento en caché de Clave maestra en pares (PMK). Los valores predeterminados para Período de vida de PMK (min.) y Número de entradas en la caché PMK son normalmente suficientes para Movilidad rápida.

    8. Seleccione Esta red usa autenticación previa si su AP inalámbrico está configurado para usar autenticación previa. El valor predeterminado de 3 normalmente es suficiente para Nº máximo de intentos de autenticación previa.

    9. Para especificar que la criptografía se adhiere al modo certificado FIPS 140-2 seleccione Realizar criptografía en modo certificado FIPS 140-2.

  18. Haga clic en Aceptar para guardar la configuración y regresar a la ficha Seguridad.

  19. Haga clic en Propiedades. Se abre el cuadro de diálogo Propiedades de EAP protegido.

  20. En Propiedades de EAP protegido, compruebe que la opción Validar un certificado de servidor está seleccionada.

  21. En Entidades de certificación raíz de confianza, seleccione la entidad de certificación (CA) raíz de confianza que emitió el certificado del servidor para el servidor que ejecuta el Servidor de directivas de redes (NPS).

    Nota

    Esta configuración limita las entidades de certificación raíz de confianza en las que confían los clientes a las CA seleccionadas. Si no se selecciona ninguna CA raíz de confianza, los clientes confían en todas las CA raíz mostradas en su almacén de entidades de certificación raíz de confianza.

  22. Para especificar qué servidores RADIUS (Servicio de autenticación remota telefónica de usuario) deben usar sus clientes de acceso inalámbrico para autenticación y autorización, en Conectar a estos servidores, escriba el nombre de cada servidor RADIUS, de la misma manera en la que aparece en el campo del sujeto del certificado de servidor. Use puntos y coma para especificar varios nombres de servidores RADIUS.

  23. Para obtener una mejora en la seguridad y en la experiencia de usuario, seleccione No pedir la intervención del usuario para autorizar nuevos servidores o entidades de certificación de confianza.

  24. En Seleccionar el método de autenticación, seleccione Contraseña segura (EAP-MS-CHAP v2).

  25. Para habilitar la reconexión rápida de PEAP, seleccione Habilitar reconexión rápida.

  26. Para especificar que Protección de acceso a redes (NAP) lleva a cabo la comprobaciones de estado del sistema en clientes para asegurar que cumplen los requisitos de estado, antes de que se permitan conexiones a la red, seleccione Aplicar Protección de acceso a redes.

  27. Para requerir Tipo-longitud-valor (TLV) de cryptobinding, seleccione Desconectar si servidor no presenta TLV con enlace de cifrado.

  28. Para configurar los clientes para que no envíen su identidad en texto simple antes de que el cliente haya autenticado el servidor RADIUS, seleccione Habilitar privacidad de identidad y, a continuación, en Identidad anónima, escriba un nombre o valor, o deje el campo vacío.

    Por ejemplo, si Habilitar privacidad de identidad está habilitado, y usa “invitado” como el valor de identidad anónima, la respuesta de identidad para un usuario con identidad alice@territorio es invitado@territorio. Si selecciona Habilitar privacidad de identidad, pero no proporciona un valor de identidad anónimo, la respuesta de identidad es @territorio.

  29. Haga clic en Configurar. En el cuadro de diálogo Propiedades de EAP MSCHAPv2, compruebe si Usar automáticamente mi nombre de inicio y contraseña de Windows (y dominio, si existiera) está seleccionado, haga clic en Aceptar y, a continuación, haga clic en Aceptar para cerrar Propiedades de EAP protegido.

  30. Haga clic en Aceptar para guardar la configuración y cerrar la ficha Seguridad y, a continuación, haga clic en Aceptar de nuevo para cerrar la Directiva de red inalámbrica de Vista.


Tabla de contenido