Poniższa procedura służy do konfigurowania profilu PEAP-MS-CHAP (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol) w wersji 2 do uwierzytelniania klienta przy użyciu bezpiecznych haseł.
Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub równoważnej.
Aby skonfigurować profil dla połączeń przewodowych z zastosowaniem protokołu PEAP-MS-CHAP v2 |
Na karcie Ogólne wykonaj następujące czynności:
-
W polu Nazwa zasady wpisz nazwę zasady sieci przewodowej.
-
W polu Opis wpisz krótki opis tych zasad.
-
Upewnij się, że jest zaznaczone pole wyboru Użyj usługi autokonfiguracji sieci przewodowej systemu Windows dla klientów.
- Aby umożliwić użytkownikom komputerów z systemem Windows 7 wprowadzanie i przechowywanie poświadczeń domeny (nazwy użytkownika i hasła), których komputer może następnie używać do logowania się w sieci (nawet gdy użytkownik nie jest aktywnie zalogowany), w obszarze Ustawienia zasad systemu Windows 7 wybierz opcję Włącz jawne poświadczenia.
- Aby określić czas, przez jaki komputery z systemem Windows 7 mają zakaz podejmowania prób automatycznego nawiązania połączenia z siecią, wybierz opcję Włącz okres bloku, a następnie w polu Okres bloku (w minutach) podaj liczbę minut, w czasie których ma obowiązywać blokada. Dozwolona jest liczba minut z zakresu od 1 do 60.
Uwaga Aby uzyskać więcej informacji o ustawieniach na każdej z kart, naciśnij klawisz F1 podczas przeglądania danej karty.
-
W polu Nazwa zasady wpisz nazwę zasady sieci przewodowej.
Na karcie Zabezpieczenia wykonaj następujące czynności:
-
Zaznacz pole wyboru Włącz uwierzytelnianie dostępu do sieci metodą IEEE 802.1X.
-
W obszarze Wybierz metodę uwierzytelniania sieciowego wybierz opcję Microsoft: Chroniony protokół EAP (PEAP).
-
W obszarze Tryb uwierzytelniania wybierz, zależnie od potrzeb, jedną z następujących opcji: Uwierzytelnianie użytkownika lub komputera (zalecane), Uwierzytelnianie komputera, Uwierzytelnianie użytkownika, Uwierzytelnianie gościa. Domyślnie jest wybrana opcja Uwierzytelnianie użytkownika lub komputera.
-
W polu Maks. liczba błędów uwierzytelniania określ maksymalną dozwoloną liczbę prób zakończonych niepowodzeniem przed powiadomieniem użytkownika o niepowodzeniu uwierzytelnienia. Domyślną wartością jest „1”.
-
Jeśli poświadczenia użytkowników mają być przechowywane w pamięci podręcznej, zaznacz pole wyboru Przechowuj w pamięci podręcznej informacje o użytkownikach dla kolejnych połączeń z tą siecią.
-
Zaznacz pole wyboru Włącz uwierzytelnianie dostępu do sieci metodą IEEE 802.1X.
Aby skonfigurować ustawienia rejestracji jednokrotnej lub zaawansowane ustawienia 802.1X, kliknij przycisk Zaawansowane. Na karcie Zaawansowane wykonaj następujące czynności:
-
Aby skonfigurować zaawansowane ustawienia 802.1X, zaznacz pole wyboru Wymuś zaawansowane ustawienia 802.1X, a następnie zmodyfikuj (tylko w razie potrzeby) następujące ustawienia: Maksymalna liczba komunikatów uruchomienia-eapol, Okres przetrzymywania, Okres uruchomienia, Okres uwierzytelniania, Komunikat uruchomienia-eapol.
-
Aby skonfigurować ustawienia rejestracji jednokrotnej, zaznacz pole wyboru Włącz rejestrację jednokrotną dla tej sieci, a następnie zmodyfikuj stosownie do potrzeb następujące ustawienia:
- Wykonaj bezpośrednio przed logowaniem użytkownika
- Wykonaj bezpośrednio po logowaniu użytkownika
- Maksymalne opóźnienie łączności
- Zezwalaj na wyświetlanie dodatkowych okien dialogowych podczas rejestracji jednokrotnej
- Ta sieć używa różnych sieci VLAN do uwierzytelniania przy użyciu poświadczeń komputera i użytkownika
- Wykonaj bezpośrednio przed logowaniem użytkownika
-
Aby skonfigurować zaawansowane ustawienia 802.1X, zaznacz pole wyboru Wymuś zaawansowane ustawienia 802.1X, a następnie zmodyfikuj (tylko w razie potrzeby) następujące ustawienia: Maksymalna liczba komunikatów uruchomienia-eapol, Okres przetrzymywania, Okres uruchomienia, Okres uwierzytelniania, Komunikat uruchomienia-eapol.
Kliknij przycisk OK. Okno dialogowe Zaawansowane ustawienia zabezpieczeń zostanie zamknięte i nastąpi powrót do karty Zabezpieczenia. Na karcie Zabezpieczenia kliknij przycisk Właściwości. Zostanie otwarte okno dialogowe Właściwości chronionego protokołu EAP.
W oknie dialogowym Właściwości chronionego protokołu EAP wykonaj następujące czynności:
-
Zaznacz pole wyboru Weryfikuj certyfikat serwera.
- Aby określić serwery RADIUS (Remote Authentication Dial-In User Service), których muszą używać na potrzeby uwierzytelniania i autoryzacji klienci z dostępem przewodowym, w obszarze Połącz tylko z tymi serwerami wpisz nazwę każdego serwera RADIUS, dokładnie tak, jak widnieje ona w polu podmiotu certyfikatu serwera. Poszczególne nazwy serwerów RADIUS oddzielaj średnikami.
-
Z listy Zaufane główne urzędy certyfikacji wybierz zaufany główny urząd certyfikacji, który wystawił certyfikat serwera dla używanego serwera NPS.
Uwaga To ustawienie pozwala ograniczyć do wybranych wartości zaufane główne urzędy certyfikacji, którym ufają klienci. Jeśli nie zostanie wybrany żaden zaufany główny urząd certyfikacji, klienci będą ufać wszystkim zaufanym głównym urzędom certyfikacji w ich magazynach zaufanych głównych urzędów certyfikacji.
- W celu zwiększenia bezpieczeństwa i wygody użytkowników zaznacz pole wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji.
- W obszarze Wybierz metodę uwierzytelniania wybierz pozycję Bezpieczne hasło (EAP-MSCHAP v2).
-
Aby włączyć funkcję szybkiego ponownego nawiązywania połączenia przy użyciu protokołu PEAP, zaznacz pole wyboru Włącz szybkie łączenie ponowne.
-
Aby określić, że przed zezwoleniem na nawiązywanie połączeń z siecią ochrona dostępu do sieci (NAP) ma przeprowadzać sprawdzanie kondycji systemu na klientach w celu zagwarantowania, że zostały spełnione wymagania dotyczące kondycji, wybierz opcję Wymuś ochronę dostępu do sieci.
- Aby ustawić wymaganie obiektu TLV (Type-Length-Value) powiązania kryptograficznego, wybierz opcję Rozłącz, jeśli serwer nie przedstawi obiektu TLV powiązania kryptograficznego.
- W celu skonfigurowania klientów tak, aby nie wysyłali swojej tożsamości zwykłym tekstem przed uwierzytelnieniem serwera RADIUS, wybierz opcję Włącz prywatność tożsamości i w polu Tożsamość anonimowa wpisz nazwę lub wartość albo pozostaw je puste.
Jeśli na przykład opcja Włącz prywatność tożsamości jest włączona, a jako wartość tożsamości anonimowej używany jest ciąg „gość”, odpowiedzią na tożsamość użytkownika alicja@obszar jest gość@obszar. Jeśli zostanie wybrana opcja Włącz prywatność tożsamości, ale nie zostanie podana wartość tożsamości anonimowej, odpowiedź na tożsamość to @obszar. -
Kliknij przycisk OK, aby zapisać ustawienia Właściwości chronionego protokołu EAP, a następnie kliknij ponownie przycisk OK w celu zapisania zasad.
-
Zaznacz pole wyboru Weryfikuj certyfikat serwera.