Use este procedimento para configurar um perfil para autenticação EAP-TLS (Protocolo de Autenticação Extensível–Segurança de Camada de Transporte) que utilize cartões inteligentes ou outros certificados.
Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir este procedimento.
Para configurar um perfil sem fio EAP-TLS para computadores que estiverem executando o Windows Vista |
Abra a caixa de diálogo Propriedades de Diretivas de Novas Redes sem Fio (IEEE 802.11).
Na guia Geral , em Nome da Diretiva, digite um novo nome para a diretiva ou mantenha o nome padrão.
Em Descrição, digite uma descrição da diretiva.
Selecione Usar o Windows para definir as configurações de rede sem fio para clientes e especifique que o serviço de configuração automática de WLAN seja usado para definir as configurações do adaptador de rede sem fio.
Na guia Geral, siga um destes procedimentos:
Para adicionar e configurar um novo perfil, clique em Adicionar e, em seguida, selecione Infraestrutura.
Para editar um perfil existente, selecione o perfil que deseja modificar e clique em Editar.
Se estiver adicionando um novo perfil, na guia Conexão, em Nome do Perfil, digite um nome para o perfil. Se estiver editando um perfil já adicionado, utilize o nome de perfil existente ou modifique-o, se necessário.
Em Nome(s) de rede (SSID), digite o SSID (service set identifier) configurado nos APs sem fio e clique em Adicionar.
Se a implantação usar vários SSIDs e cada AP sem fio usar as mesmas definições de segurança sem fio, repita essas etapas para adicionar o SSID para cada AP sem fio ao qual deseja que esse perfil seja aplicado.
Se a implantação utilizar vários SSIDs e as configurações de segurança para cada SSID não corresponderem, configure um perfil separado para cada grupo de SSIDs que utilize as mesmas definições de segurança. Por exemplo, se você tiver um grupo de APs sem fio configurado para utilizar WPA2-Enterprise e AES, e outro grupo de APs sem fio para utilizar WPA-Enterprise e TKIP, configure cada perfil para cada grupo de APs sem fio.
Para especificar que clientes sem fio se conectem automaticamente a APs sem fio para as quais o SSID estiver especificado em Nome(s) da Rede (SSID), selecione Conectar automaticamente quando esta rede estiver ao alcance.
Para especificar que clientes sem fio se conectem a redes em ordem de preferência, selecione Conectar a uma rede preferencial se disponível.
Se você estiver implantado os pontos de acesso sem fio que estiverem configurados para suprimir transmissões de beacon, selecione Conectar mesmo que a rede não esteja transmitindo.
Segurança Observação Ativar esta opção pode gerar um risco de segurança, pois os clientes sem fio investigarão e tentarão conectar-se a qualquer rede sem fio. Por padrão, esta opção é desabilitada.
Clique na guia Segurança. Em Selecionar métodos de segurança para esta rede, em Autenticação, selecione WPA2-Enterprise caso essa opção seja suportada pelo AP sem fio e pelos adaptadores de rede de cliente sem fio. Caso contrário, selecione WPA-Enterprise.
Observação Selecionar WPA2 expõe as configurações de Mobilidade Rápida que não são exibidas se WPA estiver selecionado. As configurações padrão de Mobilidade Rápida são suficientes para a maioria das implantações sem fio.
Em Criptografia, selecione AES, caso esta opção seja suportada pelo AP sem fio e pelos adaptadores de rede de cliente sem fio. Caso contrário, selecione TKIP.
Observação As configurações de Autenticação e Criptografia devem ambas corresponder às configurações definidas no AP sem fio.
Em Selecionar método de autenticação de rede, selecione Microsoft: Cartão Inteligente ou outro certificado.
Em Modo de autenticação, selecione uma das seguintes opções, de acordo com as suas necessidades: Autenticação de Usuário ou Computador, Autenticação de computador, Autenticação de usuário, Autenticação de convidado. Por padrão, Autenticação de Computador ou Usuário é selecionado.
Em Máximo de Falhas de Autenticação, especifique o número máximo permitido de tentativas malsucedidas antes de o usuário ser notificado que houve falha na autenticação. Por padrão, o valor é definido em "1".
Para especificar que as credenciais de usuário são mantidas em cache, selecione Armazenar em cache informações de usuário para conexões futuras a esta rede.
Clique em Avançado e configure o seguinte:
Para definir configurações avançadas de 802.1X, em IEEE 802.1X, selecione Aplicar configurações 802.1x avançadas e defina as seguintes configurações, dependendo das suas necessidades: Máximo de Eapol-Msg. de Início, Período de Retenção, Período Inicial e Período de Autenticação.
Quando as configurações avançadas de 802.1X são aplicadas, os valores padrão são suficientes para a maioria das implantações sem fio.
Para habilitar o Logon Único, selecione Habilitar Logon Único para esta rede.
Para especificar quando ocorrer Logon Único, selecione Executar imediatamente antes do logon de usuário ou Executar imediatamente após o logon de usuário, dependendo das suas necessidades.
Os valores padrão restantes em Logon Único são o suficiente para implantações sem fio típicas.
Para especificar o período máximo de tempo, em segundos, durante o qual a autenticação 802.1X deve ser finalizada e autorizar acesso à rede, em Atraso máximo para conectividade (segundos), digite um valor, de acordo com suas necessidades.
Para permitir diálogos durante o Logon Único, selecione Permitir que caixas de diálogo adicionais sejam exibidas durante o Logon Único.
Para especificar que computadores sem fio sejam posicionados em uma rede local virtual (VLAN) durante a inicialização e depois seja feita a transição para uma rede diferente assim que o usuário fizer logon no computador, selecione Esta rede usa VLANs diferentes para autenticação com credenciais de máquina e de usuário.
Para habilitar Mobilidade Rápida, em Mobilidade Rápida, selecione Habilitar Cache de PMK. Os valores padrão para Tempo de Vida da PMK (minutos) e Número de entradas em Cache de PMK são geralmente suficientes para Mobilidade Rápida.
Selecione Esta rede usa pré-autenticação, se seu AP sem fio estiver configurado para pré-autenticação. O valor padrão 3 geralmente é suficiente para Máximo de tentativas de pré-autenticação.
Para especificar que criptografia cumpra o modo de certificado FIPS 140-2, selecione Executar criptografia em modo de certificado FIPS 140-2.
Clique em Propriedades. Na caixa de diálogo Propriedades do Cartão Inteligente ou outro Certificado, em Ao conectar, selecione Usar meu cartão inteligente ou selecione ambos Usar um certificado neste computador e Usar seleção de certificado simples (Recomendado).
Para solicitar que clientes de acesso validem o certificado do servidor NPS, selecione Validar certificado do servidor.
Para especificar quais servidores RADIUS seus clientes de acesso com fio devem utilizar para autenticação e autorização, em Conectar-se a estes servidores, digite o nome de cada servidor RADIUS, exatamente como aparece no campo assunto do certificado do servidor. Utilize ponto e vírgula para especificar vários nomes de servidor RADIUS.
Em Autoridades de Certificação Raiz Confiáveis, selecione a CA que emitiu os certificados para seus servidores NPS.
Para especificar que clientes usem um nome alternativo para a tentativa de acesso, selecione Usar um nome de usuário diferente para a conexão.
Para melhoria na segurança e uma melhor experiência de usuário, selecione Não solicitar ao usuário autorização para novos servidores ou autoridades de certificação confiáveis.
Clique em OK para fechar a caixa de diálogo Propriedades do Cartão Inteligente ou outro Certificado, e voltar para Propriedades da Nova Diretiva de Rede sem Fio.