Utilize este procedimento para configurar um perfil EAP-TLS (Extensible Authentication Protocol–Transport Layer Security) para a autenticação com smart cards ou outros certificados.

A associação ao grupo Admins do Domínio, ou equivalente, é o requisito mínimo para levar a cabo este procedimento.

Para configurar um perfil EAP-TLS para ligações com fios
  1. No separador Geral, proceda do seguinte modo:

    1. Em Nome da Política, escreva um nome para a política de rede com fios.

    2. Em Descrição, escreva uma breve descrição da política.

    3. Certifique-se de que Utilizar o serviço Config. Automática com Fios do Windows para clientes está seleccionado.

    4. Para permitir que utilizadores detentores de computadores com o Windows 7 introduzam e armazenem as suas credenciais de domínio (nome de utilizador e palavra-passe), que o computador, por sua vez, poderá utilizar para iniciar sessão na rede (ainda que o utilizador não tenha uma sessão iniciada propriamente dita), em Definições de Política do Windows 7, seleccione Activar Credenciais Explícitas.

    5. Para especificar o período de tempo durante o qual os computadores com o Windows 7 estão proibidos de efectuar tentativas de ligação automática à rede, seleccione Activar Período de Bloqueio e, em seguida, em Período de Bloqueio (minutos), especifique o número de minutos que pretende aplicar ao período de bloqueio. O intervalo válido de minutos é de 1-60.

      Nota

      Para mais informações sobre as definições de qualquer separador, prima F1 enquanto estiver a visualizar esse separador.

  2. No separador Segurança, proceda do seguinte modo:

    1. Seleccione Activar utilização da autenticação IEEE 802.1X para o acesso à rede.

    2. Em Seleccione um método de autenticação de rede, seleccione Smart Card ou outro certificado.

    3. Em Modo de autenticação, seleccione o seguinte, dependendo das suas necessidades: Autenticação de Utilizador ou Computador, Autenticação de computador, Autenticação de utilizador, Autenticação de convidado. Por predefinição, a opção Autenticação de Utilizador ou Computador encontra-se seleccionada.

    4. Em Máximo de Falhas de Autenticação, especifique o número máximo de tentativas falhadas permitido antes que o utilizador seja notificado de que a autenticação falhou. Por predefinição, o valor está definido para "1".

    5. Para especificar que as credenciais do utilizador são retidas na cache, seleccione Colocar em cache informações para ligações subsequentes a esta rede.

  3. Para configurar o Início de Sessão Único ou as definições avançadas de 802.1X, clique em Avançadas. No separador Avançadas, efectue o seguinte procedimento:

    1. Para configurar as definições avançadas de 802.1X, seleccione Impor definições avançadas de 802.1X e, em seguida, modifique (apenas conforme necessário) as definições de: Máx. Msgs. de Início EAPOL, Período de Retenção, Período de Início, Período de Autenticação e Mensagem de Início EAPOL.

    2. Para configurar o Início de Sessão Único, seleccione Activar Início de Sessão Único para esta rede e, em seguida, modifique (conforme necessário) as definições de:

      • Executar Imediatamente antes do Início de Sessão do Utilizador

      • Executar Imediatamente após o Início de Sessão do Utilizador

      • Atraso máximo para conectividade

      • Permitir a apresentação de caixas de diálogo adicionais durante o Início de Sessão Único

      • Esta rede utiliza uma VLAN diferente para autenticação com credenciais de computador e utilizador

  4. Clique em OK. A caixa de diálogo Definições Avançadas de Segurança é fechada, regressando assim ao separador Segurança. No separador Segurança, clique em Propriedades. A caixa de diálogo Propriedades do Smart Card ou Outras Propriedades de Certificado é aberta.

  5. Na caixa de diálogo Propriedades do Smart Card ou Outras Propriedades de Certificado, proceda do seguinte modo:

    1. Em Ao ligar, seleccione Utilizar o meu smart card ou seleccione Utilizar um certificado neste computador e Utilizar selecção de certificado simples (Recomendado).

    2. Seleccione Validar certificado do servidor.

    3. Para especificar os servidores RADIUS (Remote Authentication Dial-In User Service) que os clientes de acesso com fios devem utilizar para fins de autenticação e autorização, em Ligar a estes servidores, escreva o nome de cada servidor RADIUS, tal como este é apresentado no campo do assunto do certificado de servidor. Utilize o ponto e vírgula para especificar vários nomes de servidor RADIUS.

    4. Em Autoridades de Certificação de Raiz Fidedigna, seleccione a autoridade de certificação (AC) de raiz fidedigna que emitiu o certificado de servidor para o servidor com o NPS (Servidor de Políticas de Rede).

      Nota

      Esta definição limita as ACs de raiz fidedigna que o cliente considera fidedignas de acordo com os valores seleccionados. Se não for seleccionada nenhuma AC de raiz fidedigna, os clientes irão considerar fidedignas todas as ACs de raiz fidedigna existentes no respectivo arquivo de autoridades de certificação de raiz fidedigna.

    5. Para especificar que os clientes utilizam um nome alternativo para a tentativa de acesso, seleccione Utilizar um nome diferente para esta ligação.

    6. Para uma maior segurança e uma experiência mais enriquecedora do ponto de vista do utilizador, seleccione Não perguntar ao utilizador para autorizar novos servidores ou autoridades de certificação fiáveis.

    7. Clique em OK para guardar as definições de Propriedades do Smart Card ou Outras Propriedades de Certificado. Volte a clicar em OK para regressar à caixa de diálogo Propriedades de Nova Política de Rede Com Fios.


Sumário