Questa procedura consente di configurare un profilo PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) per l'autenticazione client mediante smart card o altri certificati.

Per completare questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins oppure a un gruppo equivalente.

Per configurare un profilo per connessioni cablate PEAP-TLS
  1. Nella scheda Generale eseguire le operazioni seguenti:

    1. In Nome criterio digitare il nome del criterio per reti cablate.

    2. In Descrizione digitare una breve descrizione del criterio.

    3. Verificare che sia selezionata l'opzione Usa servizio di configurazione automatica per reti cablate di Windows per i client.

    4. Per consentire agli utenti di computer che eseguono Windows 7 di immettere e archiviare le proprie credenziali di dominio, ovvero nome utente e password, che potranno essere utilizzate dal computer per la connessione alla rete anche se l'utente non sarà effettivamente connesso, selezionare Consenti credenziali esplicite in Impostazioni criterio Windows 7.

    5. Per specificare la durata per cui i computer che eseguono Windows 7 non potranno effettuare tentativi di connessione automatica alla rete, selezionare Attiva periodo di blocco e quindi in Periodo di blocco (minuti) specificare il numero di minuti desiderato per il periodo di blocco. L'intervallo di minuti valido è compreso tra 1 e 60.

      Nota

      Per ulteriori informazioni sulle impostazioni presenti nelle schede, premere F1 mentre è visualizzata la scheda.

  2. Nella scheda Sicurezza eseguire le operazioni seguenti:

    1. Selezionare Consenti utilizzo dell'autenticazione IEEE 802.1X per l'accesso in rete.

    2. In Selezionare un metodo di autenticazione di rete selezionare Microsoft: PEAP (Protected EAP).

    3. In Modalità autenticazione selezionare quanto riportato di seguito in base alle proprie necessità: Autenticazione utente o computer, Autenticazione computer, Autenticazione utente, Autenticazione Guest. L'opzione Autenticazione utente o computer è selezionata per impostazione predefinita.

    4. In Numero massimo errori di autenticazione specificare il numero massimo consentito di tentativi non riusciti prima che l'utente venga informato dell'esito negativo dell'autenticazione. Per impostazione predefinita il valore è impostato su 1.

    5. Per specificare che si desidera che le credenziali utente vengano memorizzate nella cache, selezionare Memorizza informazioni utente per successive connessioni a questa rete.

  3. Per configurare le impostazioni avanzate 802.1X o di Single Sign-On, fare clic su Avanzate. Nella scheda Avanzate eseguire le operazioni seguenti:

    1. Per configurare le impostazioni avanzate 802.1X, selezionare Applica impostazioni avanzate 802.1X e quindi modificare, solo se necessario, le impostazioni per: Numero massimo messaggi di avvio EAPOL, Periodo di sospensione, Periodo di avvio, Periodo di autenticazione e Messaggio di avvio EAPOL.

    2. Per configurare Single Sign-On, selezionare Attiva Single Sign-On per la rete e quindi modificare, se necessario, le impostazioni per:

      • Esegui immediatamente prima dell'accesso utente

      • Esegui immediatamente dopo l'accesso utente

      • Ritardo massimo connettività

      • Consenti visualizzazione di finestre di dialogo aggiuntive durante Single Sign-On

      • La rete utilizza una VLAN diversa per l'autenticazione con credenziali utente e computer

  4. Fare clic su OK. La finestra di dialogo Impostazioni di sicurezza avanzate verrà chiusa e si tornerà alla scheda Sicurezza. Nella scheda Sicurezza fare clic su Proprietà. Verrà visualizzata la finestra di dialogo Proprietà PEAP.

  5. Nella finestra di dialogo Proprietà PEAP eseguire le operazioni seguenti:

    1. Selezionare Convalida certificato server.

    2. Per specificare i server RADIUS (Remote Authentication Dial-In User Service) che devono essere utilizzati dai client di accesso a reti cablate per l'autenticazione e le autorizzazioni, in Connetti ai server seguenti digitare il nome di ogni server RADIUS esattamente come viene visualizzato nel campo dell'oggetto del certificato del server. Se si specificano più nomi di server RADIUS, separarli con il punto e virgola.

    3. In Autorità di certificazione radice attendibili selezionare l'Autorità di certificazione radice attendibile che ha emesso il certificato server per i server che eseguono Server dei criteri di rete.

      Nota

      Questa impostazione limita ai valori selezionati le CA radice che i client considerano attendibili. Se non vengono selezionate CA radice attendibili, i client considereranno attendibili tutte le CA radice attendibili presenti nel relativo archivio delle Autorità di certificazione radice attendibili.

    4. Per una sicurezza e un'esperienza utente migliori selezionare Non chiedere all'utente di autorizzare nuovi server o autorità di certificazione attendibili.

    5. In Selezionare il metodo di autenticazione selezionare Smart card o altro certificato.

    6. Per abilitare la riconnessione rapida PEAP, selezionare Abilita riconnessione rapida.

    7. Per impostare l'esecuzione di controlli di integrità del sistema nei client per garantire che soddisfino i requisiti di integrità necessari prima di autorizzare connessioni alla rete, selezionare Imponi Protezione accesso alla rete.

    8. Per richiedere il metodo TLV di cryptobinding, selezionare Disconnetti se il server non presenta TLV di cryptobinding.

    9. Per configurare i client affinché non inviino l'identità in testo normale prima dell'autenticazione con il server RADIUS, selezionare Consenti privacy identità e in Identità anonima digitare un nome o un valore oppure lasciare vuoto il campo.

      Se ad esempio Consenti privacy identità è selezionato e si utilizza "guest" come valore per l'identità anonima, la risposta di identità per un utente con identità alice@realm sarà guest@realm. Se si seleziona Consenti privacy identità ma non si specifica un valore per l'identità anonima, la risposta di identità sarà @realm.

    10. Per configurare le proprietà PEAP-TLS, fare clic su Configura e in Proprietà smart card o altro certificato configurare gli elementi seguenti in base alle specifiche esigenze:

      • In Per la connessione selezionare Utilizza la smart card oppure selezionare le opzioni Utilizza un certificato su questo computer e Utilizza selezione certificati semplice (opzione consigliata).

      • Per richiedere la convalida del certificato del Server dei criteri di rete ai client di accesso, selezionare Convalida certificato server.

      • Per specificare i server RADIUS che devono essere utilizzati dai client di accesso a reti cablate per l'autenticazione e le autorizzazioni, in Connetti ai server seguenti digitare il nome di ogni server RADIUS esattamente come viene visualizzato nel campo dell'oggetto del certificato del server. Per specificare più nomi di server RADIUS separarli con punti e virgola.

      • In Autorità di certificazione radice attendibili selezionare la CA che ha emesso i certificati server per i Server dei criteri di rete nella rete.

      • Per specificare che i client devono utilizzare un nome alternativo per il tentativo di accesso, selezionare Utilizza un nome utente diverso per la connessione.

      • Per evitare che venga richiesto agli utenti di autorizzare un certificato server se tale certificato non è configurato correttamente e/o non è già considerato attendibile, selezionare Non chiedere all'utente di autorizzare nuovi server o autorità di certificazione attendibili (scelta consigliata).

      • Fare clic su OK per chiudere la finestra di dialogo Proprietà smart card o altro certificato e quindi fare di nuovo clic su OK per chiudere la finestra di dialogo Proprietà PEAP. Si tornerà alla finestra di dialogo Proprietà - Nuovi criteri per reti cablate.


Argomenti della Guida