Use este procedimento para configurar um perfil para autenticação PEAP-TLS (Protocolo de Autenticação Extensível Protegido–Segurança de Camada de Transporte) utilizando cartões inteligentes ou outros certificados.
Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento.
Para configurar um perfil PEAP-TLS para conexões com fio |
Na guia Geral, siga um destes procedimentos:
-
Em Nome da Diretiva, digite um nome para a diretiva de rede com fio.
-
Em Descrição, digite uma breve descrição da diretiva.
-
Verifique se a opção Usar serviço de Configuração Automática com Fio do Windows para clientes está selecionada.
- Para permitir que os usuários com computadores executando Windows 7 digitem e armazenem suas credenciais de domínio (nome de usuário e senha), que o computador pode usar para fazer logon na rede (mesmo se o usuário não estiver ativamente conectado), em Configurações de Diretivas do Windows 7, selecione Habilitar Credenciais Explícitas.
- Para especificar o período no qual os computadores que estiverem executando Windows 7 estão proibidos de fazerem tentativas de conexão automática à rede, selecione Ativar Período de Bloqueio e em Período de Bloqueio (minutos), especifique por quantos minutos você deseja que o período de bloqueio seja aplicado. O intervalo válido é de 1 a 60 minutos.
Observação Para obter mais informações sobre as configurações em qualquer guia, pressione F1 enquanto visualiza a guia.
-
Em Nome da Diretiva, digite um nome para a diretiva de rede com fio.
Na guia Segurança, faça o seguinte:
-
Selecione Habilitar o uso da autenticação IEEE 802.1X para acesso à rede.
-
Em Selecionar método de autenticação de rede, selecione Microsoft: EAP Protegido (PEAP).
-
Em Modo de autenticação, selecione uma das seguintes opções, de acordo com as suas necessidades: Autenticação de Usuário ou Computador, Autenticação de computador, Autenticação de usuário, Autenticação de convidado. Por padrão, Autenticação de Computador ou Usuário é selecionado.
-
Em Máximo de Falhas de Autenticação, especifique o número máximo permitido de tentativas malsucedidas antes de o usuário ser notificado que houve falha na autenticação. Por padrão, o valor é definido em "1".
-
Para especificar que as credenciais de usuário são mantidas em cache, selecione Armazenar em cache informações de usuário para conexões futuras a esta rede.
-
Selecione Habilitar o uso da autenticação IEEE 802.1X para acesso à rede.
Para definir o logon único ou as configurações 802.1X avançadas, clique em Avançado. Na guia Avançado, faça o seguinte:
-
Para definir as configurações 802.1X avançadas, selecione Aplicar configurações 802.1X avançadas e modifique - apenas quando necessário - as configurações de: Máximo de Eapol-Msg. de Início, Período de Retenção, Período Inicial, Período de Autenticação, EAPOL - Mensagem de Início.
-
Para configurar o logon único, selecione Habilitar Logon Único para esta rede e modifique - conforme necessário - as configurações de:
- Executar imediatamente antes Logon do Usuário
- Executar imediatamente após Logon do Usuário
- Atraso máximo para conectividade
- Permitir que caixas de diálogo adicionais sejam exibidas durante o Logon Único
- Esta rede usa VLAN diferente para autenticação com credenciais de máquina e de usuário
- Executar imediatamente antes Logon do Usuário
-
Para definir as configurações 802.1X avançadas, selecione Aplicar configurações 802.1X avançadas e modifique - apenas quando necessário - as configurações de: Máximo de Eapol-Msg. de Início, Período de Retenção, Período Inicial, Período de Autenticação, EAPOL - Mensagem de Início.
Clique em OK. A caixa de diálogo Configurações Avançadas de Segurança se fecha e o retorna para a guia Segurança. Na guia Segurança, clique em Propriedades. Será exibida a caixa de diálogo Propriedades de EAP Protegido.
Na caixa de diálogo Propriedades EAP Protegidas, faça o seguinte:
-
Selecione Validar certificado do servidor.
- Para especificar quais servidores RADIUS seus clientes de acesso com fio devem utilizar para autenticação e autorização, em Conectar-se a estes servidores, digite o nome de cada servidor RADIUS, exatamente como aparece no campo assunto do certificado do servidor. Utilize ponto e vírgula para especificar vários nomes de servidor RADIUS.
-
Em Autoridades de Certificação Raiz Confiáveis, selecione a autoridade de certificação (CA) raiz confiável que emitiu o certificado de servidor para servidores que estiverem executando o Servidor de Diretivas de Rede (NPS).
Observação Essa configuração limita aos valores selecionados as autoridades de certificação raiz confiáveis nas quais os clientes confiam. Se nenhuma autoridade de certificação raiz confiável for selecionada, os clientes confiarão em todas que estiverem no armazenamento de autoridades de certificação raiz confiáveis.
- Para melhoria na segurança e uma melhor experiência de usuário, selecione Não solicitar ao usuário autorização para novos servidores ou autoridades de certificação confiáveis.
- Em Selecionar Método de Autenticação, escolha Cartão Inteligente ou outro certificado.
- Para habilitar a reconexão rápida de PEAP, selecione Ativar Reconexão Rápida.
-
Para especificar que a NAP execute as verificações de integridade do sistema nos clientes para garantir que eles atendam aos requisitos de integridade, antes de permitir conexões com a rede, selecione Impor Proteção de Acesso à Rede.
- Para solicitar TLV (Tipo-Tamanho-Valor) com ligação de criptografia, selecione Desconectar se o servidor não apresentar TLV com ligação de criptografia.
- Para configurar seus clientes para que não enviem sua identiade em texto não criptografado antes que seja autenticado ao servidor RADIUS, selecione Habilitar Privacidade de Identidade e em Identidade Anônima, digite um nome ou valor, ou deixe o campo em branco.
Por exemplo, se Habilitar Privacidade de Identidade estiver habilitado e você utilizar "convidado" como valor de identidade anônima, a resposta de identidade para um usuário cuja identidade é alice@realm será convidado@realm. Se você selecionar Habilitar Privacidade de Identidade, mas não fornecer um valor de identidade anônima, a resposta de identidade será @realm. - Para configurar as propriedades PEAP-TLS, clique em Configurar e em Propriedades do Cartão Inteligente ou outro Certificado, configure os seguintes itens de acordo com as suas necessidades:
- Em Ao conectar, selecione Usar meu cartão inteligente ou selecione Usar um certificado nesse computador e Usar seleção de certificado simples (Recomendado).
- Para solicitar que clientes de acesso validem o certificado do servidor NPS, selecione Validar certificado do servidor.
- Para especificar quais servidores RADIUS seus clientes de acesso com fio devem utilizar para autenticação e autorização, em Conectar-se a estes servidores, digite o nome de cada servidor RADIUS, exatamente como aparece no campo assunto do certificado do servidor. Utilize ponto e vírgula para especificar vários nomes de servidor RADIUS.
- Em Autoridades de Certificação Raiz Confiáveis, selecione a CA que emitiu os certificados para seus servidores NPS na sua rede.
- Para especificar que clientes usem um nome alternativo para a tentativa de acesso, selecione Usar um nome de usuário diferente para a conexão.
- Para evitar que seja solicitado a confiar em um certificado de servidor se esse certificado estiver configurado de forma incorreta, não for confiável, ou ambos, selecione Não solicitar ao usuário autorização para novos servidores ou autoridades de certificação confiáveis. (recomendado)
- Clique em OK para fechar Propriedades de Cartão Inteligente ou outro Certificado e, em seguida, clique em OK novamente para fechar Propriedades EAP Protegido (PEAP). Isso fará com que você retorne à caixa de diálogo Propriedades da Nova Diretiva de Rede com Fio.
- Em Ao conectar, selecione Usar meu cartão inteligente ou selecione Usar um certificado nesse computador e Usar seleção de certificado simples (Recomendado).
-
Selecione Validar certificado do servidor.