Poniższa procedura służy do konfigurowania profilu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) w celu uwierzytelniania z użyciem kart inteligentnych lub innych certyfikatów.
Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub równoważnej.
Aby skonfigurować profil bezprzewodowy EAP-TLS dla komputerów z systemem Windows Vista |
Otwórz okno dialogowe Właściwości: Nowe zasady sieci bezprzewodowej (IEEE 802.11).
Na karcie Ogólne w polu Nazwa zasady wpisz nową nazwę zasady lub pozostaw nazwę domyślną.
W polu Opis wpisz opis tej zasady.
Zaznacz pole wyboru Użyj systemu Windows do konfiguracji ustawień sieci bezprzewodowej dla klientów, aby określić, że do konfigurowania ustawień karty sieci bezprzewodowej ma być stosowana usługa automatycznego konfigurowania sieci WLAN.
Na karcie Ogólne wykonaj jedną z następujących czynności:
Aby dodać i skonfigurować nowy profil, kliknij przycisk Dodaj, a następnie wybierz pozycję Infrastruktura.
Aby edytować istniejący profil, wybierz profil do zmodyfikowania, a następnie kliknij przycisk Edytuj.
Jeśli dodawany jest nowy profil, na karcie Połączenie wpisz w polu Nazwa profilu nazwę profilu. Jeśli edytowany jest profil, który został już dodany, użyj istniejącej nazwy profilu lub zmodyfikuj ją według potrzeb.
W polu Nazwy sieci (SSID) wpisz identyfikatory zestawu usług (SSID) punktów dostępu bezprzewodowego, a następnie kliknij przycisk Dodaj.
Jeśli w danym wdrożeniu użyto wielu identyfikatorów SSID, a każdy punkt dostępu bezprzewodowego używa tych samych ustawień zabezpieczeń sieci bezprzewodowej, powtórz ten krok w celu dodania identyfikatora SSID każdego punktu dostępu bezprzewodowego, do którego ma być stosowany ten profil.
Jeśli w danym wdrożeniu użyto wielu identyfikatorów SSID, a ustawienia zabezpieczeń dla poszczególnych identyfikatorów SSID nie są zgodne, skonfiguruj osobny profil dla każdej grupy identyfikatorów SSID korzystających z tych samych ustawień zabezpieczeń. Jeśli na przykład jedna grupa punktów dostępu bezprzewodowego jest skonfigurowana do korzystania z ustawień WPA2-Enterprise oraz AES, a inna grupa punktów dostępu bezprzewodowego używa ustawień WPA-Enterprise oraz TKIP, skonfiguruj profil dla każdej grupy punktów dostępu bezprzewodowego.
Aby określić, że klienci sieci bezprzewodowej automatycznie łączą się z punktami dostępu bezprzewodowego, których identyfikatory SSID określono w polu Nazwy sieci (SSID), zaznacz pole wyboru Połącz automatycznie, gdy ta sieć jest w zasięgu.
Aby określić, że klienci sieci bezprzewodowej łączą się z sieciami według ich priorytetu, zaznacz pole wyboru Połącz z siecią preferowaną, jeśli jest dostępna.
Jeśli wdrożenie obejmuje punkty dostępu bezprzewodowego skonfigurowane do pomijania nadawania sygnału, zaznacz pole wyboru Połącz, nawet jeśli sieć nie wykonuje emisji.
Uwaga dotycząca zabezpieczeń Włączenie tej opcji może spowodować zagrożenie bezpieczeństwa, ponieważ klienci sieci bezprzewodowej będą sondować każdą sieć bezprzewodową, próbując nawiązać połączenie. Domyślnie ta opcja nie jest włączona.
Kliknij kartę Zabezpieczenia. W obszarze Wybieranie metod zabezpieczeń dla tej sieci na liście Uwierzytelnianie wybierz opcję WPA2-Enterprise, jeśli jest obsługiwana przez używany punkt dostępu bezprzewodowego i karty sieciowe klientów sieci bezprzewodowej. W przeciwnym razie wybierz opcję WPA-Enterprise.
Uwaga Po wybraniu ustawienia WPA2 dostępne są dodatkowe ustawienia dotyczące szybkiego roamingu, które nie są wyświetlane w przypadku wybrania opcji WPA. W przypadku większości wdrożeń domyślne ustawienia szybkiego roamingu są wystarczające.
Na liście Szyfrowanie wybierz opcję AES, jeśli jest obsługiwana przez używany punkt dostępu bezprzewodowego i karty sieciowe klientów sieci bezprzewodowej. W przeciwnym razie wybierz opcję TKIP.
Uwaga Ustawienia na listach Uwierzytelnianie i Szyfrowanie muszą zgadzać się z ustawieniami skonfigurowanymi w używanym punkcie dostępu bezprzewodowego.
W obszarze Wybierz metodę uwierzytelniania sieciowego wybierz opcję Microsoft: Karta inteligentna lub inny certyfikat.
W obszarze Tryb uwierzytelniania wybierz, zależnie od potrzeb, jedną z następujących opcji: Uwierzytelnianie użytkownika lub komputera, Uwierzytelnianie komputera, Uwierzytelnianie użytkownika, Uwierzytelnianie gościa. Domyślnie jest wybrana opcja Uwierzytelnianie użytkownika lub komputera.
W polu Maks. liczba błędów uwierzytelniania określ maksymalną dozwoloną liczbę prób zakończonych niepowodzeniem przed powiadomieniem użytkownika o niepowodzeniu uwierzytelnienia. Domyślną wartością jest „1”.
Jeśli poświadczenia użytkowników mają być przechowywane w pamięci podręcznej, zaznacz pole wyboru Przechowuj w pamięci podręcznej informacje o użytkownikach dla kolejnych połączeń z tą siecią.
Kliknij przycisk Zaawansowane, a następnie skonfiguruj następujące ustawienia:
Aby skonfigurować zaawansowane ustawienia 802.1X, w obszarze IEEE 802.1X wybierz opcję Wymuś zaawansowane ustawienia 802.1X, a następnie, zależnie od potrzeb, skonfiguruj poniższe ustawienia: Maksymalna liczba komunikatów uruchomienia-eapol, Okres przetrzymywania, Okres uruchomienia i Okres uwierzytelniania.
Gdy są wymuszane zaawansowane ustawienia 802.1X, wartości domyślne są wystarczające dla większości wdrożeń sieci bezprzewodowych.
Aby włączyć rejestrację jednokrotną, zaznacz pole wyboru Włącz rejestrację jednokrotną dla tej sieci.
Aby określić, kiedy przebiega rejestracja jednokrotna, wybierz zależnie od potrzeb opcję Wykonaj bezpośrednio przed logowaniem użytkownika lub Wykonaj bezpośrednio po logowaniu użytkownika.
Pozostałe wartości domyślne w obszarze Rejestracja jednokrotna są wystarczające dla typowych wdrożeń sieci bezprzewodowych.
Aby określić maksymalny czas (w sekundach), w którym uwierzytelnianie 802.1X musi się zakończyć i autoryzować dostęp do sieci, w polu Maksymalne opóźnienie łączności (w sekundach) wprowadź wymaganą wartość.
Aby zezwolić na wyświetlanie okien dialogowych podczas rejestracji jednokrotnej, zaznacz pole wyboru Zezwalaj na wyświetlanie dodatkowych okien dialogowych podczas rejestracji jednokrotnej.
Aby określić, że komputery łączące się bezprzewodowo w chwili uruchomienia są umieszczane w jednej wirtualnej sieci lokalnej (VLAN), a następnie są przenoszone do innej sieci po zalogowaniu użytkownika na komputerze, zaznacz pole wyboru Ta sieć używa różnych sieci VLAN do uwierzytelniania przy użyciu poświadczeń komputera i użytkownika.
Aby włączyć funkcję szybkiego roamingu, w obszarze Szybki roaming zaznacz pole wyboru Włącz buforowanie kluczy głównych parowania. Wartości domyślne ustawień Czas wygaśnięcia klucza głównego parowania (w minutach) oraz Liczba wpisów w buforze kluczy głównych parowania są zwykle wystarczające dla funkcji szybkiego roamingu.
Zaznacz pole wyboru Ta sieć używa wstępnego uwierzytelniania, jeśli punkt dostępu bezprzewodowego jest skonfigurowany do wstępnego uwierzytelniania. Dla ustawienia Maksymalna liczba prób uwierzytelniania wstępnego jest zwykle wystarczająca wartość domyślna wynosząca 3.
Aby określić, że kryptografia jest zgodna z certyfikowanym trybem FIPS 140-2, zaznacz pole wyboru Wykonaj kryptografię w trybie z certyfikatem FIPS 140-2.
Kliknij opcję Właściwości. W oknie dialogowym Właściwości karty inteligentnej lub innego certyfikatu w obszarze Podczas łączenia wybierz opcję Użyj mojej karty inteligentnej lub wybierz obie opcje Użyj certyfikatu na tym komputerze oraz Użyj prostego wyboru certyfikatu (zalecane).
Aby ustawić wymaganie sprawdzania certyfikatu serwera zasad sieciowych (NPS) przez klientów dostępu, wybierz opcję Weryfikuj certyfikat serwera.
Aby określić serwery RADIUS (Remote Authentication Dial-In User Service), których muszą używać na potrzeby uwierzytelniania i autoryzacji klienci z dostępem przewodowym, w obszarze Połącz tylko z tymi serwerami wpisz nazwę każdego serwera RADIUS, dokładnie tak, jak widnieje ona w polu podmiotu certyfikatu serwera. Poszczególne nazwy serwerów RADIUS oddzielaj średnikami.
W obszarze Zaufane główne urzędy certyfikacji wybierz urząd certyfikacji, który wystawił certyfikaty dla używanych serwerów NPS.
Aby wskazać, że klienci korzystają z innej nazwy przy próbach uzyskania dostępu, wybierz opcję Użyj innej nazwy użytkownika dla połączenia.
W celu zwiększenia bezpieczeństwa i wygody użytkowników zaznacz pole wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji.
Kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości karty inteligentnej lub innego certyfikatu i wrócić do okna dialogowego Właściwości: Nowe zasady sieci bezprzewodowej.