Poniższa procedura służy do konfigurowania profilu PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) w celu uwierzytelniania z użyciem kart inteligentnych lub innych certyfikatów.

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub równoważnej.

Aby skonfigurować profil bezprzewodowy PEAP-TLS dla komputerów z systemem Windows 7 lub Windows Vista
  1. Otwórz okno dialogowe Właściwości: Nowe zasady sieci bezprzewodowej (IEEE 802.11).

  2. Na karcie Ogólne w polu Nazwa zasady wpisz nową nazwę zasady lub pozostaw nazwę domyślną.

  3. W polu Opis wpisz opis tej zasady.

  4. Zaznacz pole wyboru Użyj systemu Windows do konfiguracji ustawień sieci bezprzewodowej dla klientów, aby określić, że do konfigurowania ustawień karty sieci bezprzewodowej ma być stosowana usługa automatycznego konfigurowania sieci WLAN.

  5. Na karcie Ogólne wykonaj jedną z następujących czynności:

    • Aby dodać i skonfigurować nowy profil, kliknij przycisk Dodaj, a następnie wybierz pozycję Infrastruktura.

    • Aby edytować istniejący profil, wybierz profil do zmodyfikowania, a następnie kliknij przycisk Edytuj.

  6. Jeśli dodawany jest nowy profil, na karcie Połączenie wpisz w polu Nazwa profilu nazwę profilu. Jeśli edytowany jest profil, który został już dodany, użyj istniejącej nazwy profilu lub zmodyfikuj ją według potrzeb.

  7. W polu Nazwy sieci (SSID) wpisz identyfikatory zestawu usług (SSID) punktów dostępu bezprzewodowego, a następnie kliknij przycisk Dodaj.

    Jeśli w danym wdrożeniu użyto wielu identyfikatorów SSID, a każdy punkt dostępu bezprzewodowego używa tych samych ustawień zabezpieczeń sieci bezprzewodowej, powtórz ten krok w celu dodania identyfikatora SSID każdego punktu dostępu bezprzewodowego, do którego ma być stosowany ten profil.

    Jeśli w danym wdrożeniu użyto wielu identyfikatorów SSID, a ustawienia zabezpieczeń dla poszczególnych identyfikatorów SSID nie są zgodne, skonfiguruj osobny profil dla każdej grupy identyfikatorów SSID korzystających z tych samych ustawień zabezpieczeń. Jeśli na przykład jedna grupa punktów dostępu bezprzewodowego jest skonfigurowana do korzystania z ustawień WPA2-Enterprise oraz AES, a inna grupa punktów dostępu bezprzewodowego używa ustawień WPA-Enterprise oraz TKIP, skonfiguruj profil dla każdej grupy punktów dostępu bezprzewodowego.

  8. Aby określić, że klienci sieci bezprzewodowej automatycznie łączą się z punktami dostępu bezprzewodowego, których identyfikatory SSID określono w polu Nazwy sieci (SSID), zaznacz pole wyboru Połącz automatycznie, gdy ta sieć jest w zasięgu.

  9. Aby określić, że klienci sieci bezprzewodowej łączą się z sieciami według ich priorytetu, zaznacz pole wyboru Połącz z siecią preferowaną, jeśli jest dostępna.

  10. Jeśli wdrożenie obejmuje punkty dostępu bezprzewodowego skonfigurowane do pomijania nadawania sygnału, zaznacz pole wyboru Połącz, nawet jeśli sieć nie wykonuje emisji.

    Uwaga dotycząca zabezpieczeń

    Włączenie tej opcji może spowodować zagrożenie bezpieczeństwa, ponieważ klienci sieci bezprzewodowej będą sondować każdą sieć bezprzewodową, próbując nawiązać połączenie. Domyślnie ta opcja nie jest włączona.

  11. Kliknij kartę Zabezpieczenia. W obszarze Wybieranie metod zabezpieczeń dla tej sieci na liście Uwierzytelnianie wybierz opcję WPA2-Enterprise, jeśli jest obsługiwana przez używany punkt dostępu bezprzewodowego i karty sieciowe klientów sieci bezprzewodowej. W przeciwnym razie wybierz opcję WPA-Enterprise.

    Uwaga

    Po wybraniu ustawienia WPA2 dostępne są dodatkowe ustawienia dotyczące szybkiego roamingu, które nie są wyświetlane w przypadku wybrania opcji WPA. W przypadku większości wdrożeń domyślne ustawienia szybkiego roamingu są wystarczające.

  12. Na liście Szyfrowanie wybierz opcję AES, jeśli jest obsługiwana przez używany punkt dostępu bezprzewodowego i karty sieciowe klientów sieci bezprzewodowej. W przeciwnym razie wybierz opcję TKIP.

    Uwaga

    Ustawienia na listach Uwierzytelnianie i Szyfrowanie muszą zgadzać się z ustawieniami skonfigurowanymi w używanym punkcie dostępu bezprzewodowego.

  13. W obszarze Wybierz metodę uwierzytelniania sieciowego wybierz opcję Microsoft: Chroniony protokół EAP (PEAP).

  14. W obszarze Tryb uwierzytelniania wybierz, zależnie od potrzeb, jedną z następujących opcji: Uwierzytelnianie użytkownika lub komputera, Uwierzytelnianie komputera, Uwierzytelnianie użytkownika, Uwierzytelnianie gościa. Domyślnie jest wybrana opcja Uwierzytelnianie użytkownika lub komputera.

  15. W polu Maks. liczba błędów uwierzytelniania określ maksymalną dozwoloną liczbę prób zakończonych niepowodzeniem przed powiadomieniem użytkownika o niepowodzeniu uwierzytelnienia. Domyślnie jest ustawiona wartość „1”.

  16. Jeśli poświadczenia użytkowników mają być przechowywane w pamięci podręcznej, zaznacz pole wyboru Przechowuj w pamięci podręcznej informacje o użytkownikach dla kolejnych połączeń z tą siecią.

  17. Kliknij przycisk Zaawansowane, a następnie skonfiguruj następujące ustawienia:

    1. Aby skonfigurować zaawansowane ustawienia 802.1X, w obszarze IEEE 802.1X wybierz opcję Wymuś zaawansowane ustawienia 802.1X, a następnie, zależnie od potrzeb, skonfiguruj poniższe ustawienia: Maksymalna liczba komunikatów uruchomienia-eapol, Okres przetrzymywania, Okres uruchomienia i Okres uwierzytelniania.

      Gdy są wymuszane zaawansowane ustawienia 802.1X, wartości domyślne są wystarczające dla większości wdrożeń sieci bezprzewodowych.

    2. Aby włączyć rejestrację jednokrotną, zaznacz pole wyboru Włącz rejestrację jednokrotną dla tej sieci.

    3. Aby określić, kiedy przebiega rejestracja jednokrotna, wybierz zależnie od potrzeb opcję Wykonaj bezpośrednio przed logowaniem użytkownika lub Wykonaj bezpośrednio po logowaniu użytkownika.

      Pozostałe wartości domyślne w obszarze Rejestracja jednokrotna są wystarczające dla typowych wdrożeń sieci bezprzewodowych.

    4. Aby określić maksymalny czas (w sekundach), w którym uwierzytelnianie 802.1X musi się zakończyć i autoryzować dostęp do sieci, w polu Maksymalne opóźnienie łączności (w sekundach) wprowadź wymaganą wartość.

    5. Aby zezwolić na wyświetlanie okien dialogowych podczas rejestracji jednokrotnej, zaznacz pole wyboru Zezwalaj na wyświetlanie dodatkowych okien dialogowych podczas rejestracji jednokrotnej.

    6. Aby określić, że komputery łączące się bezprzewodowo w chwili uruchomienia są umieszczane w jednej wirtualnej sieci lokalnej (VLAN), a następnie są przenoszone do innej sieci po zalogowaniu użytkownika na komputerze, zaznacz pole wyboru Ta sieć używa różnych sieci VLAN do uwierzytelniania przy użyciu poświadczeń komputera i użytkownika.

    7. Aby włączyć funkcję szybkiego roamingu, w obszarze Szybki roaming zaznacz pole wyboru Włącz buforowanie kluczy głównych parowania. Wartości domyślne ustawień Czas wygaśnięcia klucza głównego parowania (w minutach) oraz Liczba wpisów w buforze kluczy głównych parowania są zwykle wystarczające dla funkcji szybkiego roamingu.

    8. Zaznacz pole wyboru Ta sieć używa wstępnego uwierzytelniania, jeśli punkt dostępu bezprzewodowego jest skonfigurowany do wstępnego uwierzytelniania. Dla ustawienia Maksymalna liczba prób uwierzytelniania wstępnego jest zwykle wystarczająca wartość domyślna wynosząca 3.

    9. Aby określić, że kryptografia jest zgodna z certyfikowanym trybem FIPS 140-2, zaznacz pole wyboru Wykonaj kryptografię w trybie z certyfikatem FIPS 140-2.

  18. Kliknij przycisk OK, aby zapisać ustawienia i wrócić do karty Zabezpieczenia.

  19. Kliknij opcję Właściwości. Zostanie otwarte okno dialogowe Właściwości chronionego protokołu EAP.

  20. W oknie dialogowym Właściwości chronionego protokołu EAP upewnij się, że zaznaczona jest opcja Weryfikuj certyfikat serwera.

  21. Z listy Zaufane główne urzędy certyfikacji wybierz zaufany główny urząd certyfikacji, który wystawił certyfikat serwera dla używanego serwera NPS.

    Uwaga

    To ustawienie pozwala ograniczyć zaufane główne urzędy certyfikacji, którym ufają klienci, do wybranych urzędów. Jeśli nie zostanie wybrany żaden zaufany główny urząd certyfikacji, klienci będą ufać wszystkim głównym urzędom certyfikacji wymienionym w ich magazynach zaufanych głównych urzędów certyfikacji.

  22. Aby określić serwery RADIUS (Remote Authentication Dial-In User Service), których muszą używać na potrzeby uwierzytelniania i autoryzacji klienci z dostępem przewodowym, w obszarze Połącz tylko z tymi serwerami wpisz nazwę każdego serwera RADIUS, dokładnie tak, jak widnieje ona w polu podmiotu certyfikatu serwera. Poszczególne nazwy serwerów RADIUS oddzielaj średnikami.

  23. W celu zwiększenia bezpieczeństwa i wygody użytkowników zaznacz pole wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji.

  24. W obszarze Wybierz metodę uwierzytelniania wybierz pozycję Karta inteligentna lub inny certyfikat.

  25. Aby włączyć funkcję szybkiego ponownego nawiązywania połączenia przy użyciu protokołu PEAP, zaznacz pole wyboru Włącz szybkie łączenie ponowne.

  26. Aby określić, że przed zezwoleniem na nawiązywanie połączeń z siecią ochrona dostępu do sieci (NAP) ma przeprowadzać sprawdzanie kondycji systemu na klientach w celu zagwarantowania, że zostały spełnione wymagania dotyczące kondycji, wybierz opcję Wymuś ochronę dostępu do sieci.

  27. Aby ustawić wymaganie obiektu TLV (Type-Length-Value) powiązania kryptograficznego, wybierz opcję Rozłącz, jeśli serwer nie przedstawi obiektu TLV powiązania kryptograficznego.

  28. W celu skonfigurowania klientów w taki sposób, aby nie wysyłali swojej tożsamości zwykłym tekstem przed uwierzytelnieniem serwera RADIUS, wybierz opcję Włącz prywatność tożsamości, a następnie w polu Tożsamość anonimowa wpisz nazwę lub wartość albo pozostaw to pole puste.

    Jeśli na przykład opcja Włącz prywatność tożsamości jest włączona, a jako wartość tożsamości anonimowej używany jest ciąg „gość”, odpowiedzią na tożsamość użytkownika alicja@obszar jest gość@obszar. Jeśli zostanie wybrana opcja Włącz prywatność tożsamości, ale nie zostanie podana wartość tożsamości anonimowej, odpowiedź na tożsamość to @obszar.

  29. Kliknij przycisk Konfiguruj. W oknie dialogowym Właściwości karty inteligentnej lub innego certyfikatu w obszarze Podczas łączenia wybierz opcję Użyj mojej karty inteligentnej lub wybierz obie opcje Użyj certyfikatu na tym komputerze oraz Użyj prostego wyboru certyfikatu (zalecane).

  30. Aby określić wymaganie sprawdzania certyfikatu serwera NPS przez klientów uzyskujących dostęp, wybierz opcję Weryfikuj certyfikat serwera.

  31. Aby określić serwery usługi RADIUS, których muszą używać na potrzeby uwierzytelniania i autoryzacji klienci z dostępem przewodowym, w obszarze Połącz tylko z tymi serwerami wpisz nazwę każdego serwera usługi RADIUS, dokładnie tak, jak widnieje ona w polu podmiotu certyfikatu danego serwera. Poszczególne nazwy serwerów usługi RADIUS oddzielaj średnikami.

  32. W obszarze Zaufane główne urzędy certyfikacji wybierz urząd certyfikacji, który wystawił certyfikaty dla używanych serwerów NPS.

  33. Aby wskazać, że klienci korzystają z innej nazwy przy próbach uzyskania dostępu, wybierz opcję Użyj innej nazwy użytkownika dla połączenia.

  34. Aby zapobiec wyświetlaniu użytkownikom monitu o zaufanie certyfikatowi serwera, jeśli certyfikat jest niewłaściwie skonfigurowany, nie jest jeszcze zaufany lub jeśli zachodzą obie te okoliczności, zaznacz pole wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji (zalecane).

  35. Kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości karty inteligentnej lub innego certyfikatu, a następnie ponownie kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości chronionego protokołu EAP (PEAP), co spowoduje powrót do okna Właściwości: Nowe zasady sieci bezprzewodowej.


Spis treści