Utilize este procedimento para configurar um perfil EAP-TLS (Extensible Authentication Protocol–Transport Layer Security) para a autenticação com smart cards ou outros certificados.

A associação ao grupo Admins do Domínio, ou equivalente, é o requisito mínimo para levar a cabo este procedimento.

Para configurar um perfil sem fios EAP-TLS para computadores com o Windows Vista
  1. Abra a caixa de diálogo Propriedades de Nova Política de Rede Sem Fios (IEEE 802.11).

  2. No separador Geral, em Nome da Política, escreva um novo nome para a política ou mantenha o nome predefinido.

  3. Em Descrição, escreva uma descrição da política.

  4. Seleccione Utilizar o Windows para configurar as definições de rede sem fios para clientes de modo a especificar a utilização da Configuração Automática de WLAN para configurar as definições de adaptador de rede sem fios.

  5. No separador Geral, efectue um dos seguintes procedimentos:

    • Para adicionar e configurar um novo perfil, clique em Adicionar e, em seguida, seleccione Infra-estrutura.

    • Para editar um perfil existente, seleccione o perfil que pretende modificar e, em seguida, clique em Editar.

  6. No separador Ligação, em Nome do Perfil, se estiver a adicionar um novo perfil, escreva um nome para o perfil. Se estiver a editar um perfil que já se encontra adicionado, utilize o nome de perfil existente ou modifique o nome conforme necessário.

  7. Em Nome(s) de Rede (SSID), escreva o SSID (Service Set Identifier) para os APs sem fios e, em seguida, clique em Adicionar.

    Se o seu modelo de implementação utilizar vários SSIDs e cada AP sem fios utilizar as mesmas definições de segurança sem fios, repita este passo para adicionar o SSID para cada AP sem fios a que pretende que este perfil seja aplicável.

    Se o seu modelo de implementação utilizar vários SSIDs e as definições de segurança para cada SSID não forem iguais, configure um perfil separado para cada grupo de SSIDs que utilize as mesmas definições de segurança. Por exemplo, se tiver um grupo de APs sem fios configurado para utilizar WPA2-Enterprise e AES, e um outro grupo de APs sem fios configurado para utilizar WPA-Enterprise e TKIP, configure um perfil para cada grupo de APs sem fios.

  8. Para especificar a ligação automática de clientes sem fios aos APs sem fios para os quais o SSID foi especificado em Nome(s) de Rede (SSID), seleccione Ligar automaticamente quando esta rede estiver ao alcance.

  9. Para especificar a ligação de clientes sem fios às redes de acordo com a ordem de preferência, seleccione Ligar a uma rede mais preferida, se disponível.

  10. Se tiver implementado pontos de acesso sem fios configurados para suprimir o sinalizador de difusão, seleccione Ligar mesmo que a rede não esteja a difundir.

    Segurança Nota

    Activar esta opção pode criar um risco de segurança, visto que os clientes sem fios irão sondar e tentar estabelecer ligações a qualquer rede sem fios. Por predefinição, esta definição não está activada.

  11. Clique no separador Segurança. Em Seleccionar os métodos de segurança para esta rede, em Autenticação, seleccione WPA2-Enterprise se for suportado pelo AP sem fios e pelas placas de rede sem fios cliente. Caso contrário, seleccione WPA-Enterprise.

    Nota

    A selecção de WPA2 expõe definições de Itinerância Rápida que não são apresentadas se WPA for a opção seleccionada. As predefinições de Itinerância Rápida são suficientes para a maior parte das implementações sem fios.

  12. Em Encriptação, seleccione AES se for suportado pelo AP sem fios e pelas placas de rede sem fios cliente. Caso contrário, seleccione TKIP.

    Nota

    As definições de Autenticação e Encriptação têm de corresponder às definições configuradas no AP sem fios.

  13. Em Seleccione um método de autenticação de rede, seleccione Microsoft: Smart Card ou outro certificado.

  14. Em Modo de autenticação, seleccione o seguinte, dependendo das suas necessidades: Autenticação de Utilizador ou Computador, Autenticação de computador, Autenticação de utilizador, Autenticação de convidado. Por predefinição, a opção Autenticação de Utilizador ou Computador encontra-se seleccionada.

  15. Em Máximo de Falhas de Autenticação, especifique o número máximo de tentativas falhadas permitido antes que o utilizador seja notificado de que a autenticação falhou. Por predefinição, o valor está definido para "1".

  16. Para especificar que as credenciais do utilizador são retidas na cache, seleccione Colocar em cache informações para ligações subsequentes a esta rede.

  17. Clique em Avançadas e, em seguida, configure o seguinte:

    1. Para configurar as definições avançadas de 802.1X, em IEEE 802.1X, seleccione Impor definições avançadas de 802.1X e, em seguida, configure as seguintes definições, dependendo das suas necessidades. Máx. Mensagens de Início EAPOL, Período de Retenção, Período de Início e Período de Autenticação.

      Quando as definições avançadas de 802.1X são impostas, os valores predefinidos são suficientes para a maior parte das implementações sem fios.

    2. Para activar o Início de Sessão Único, seleccione Activar Início de Sessão Único para esta rede.

    3. Para especificar a altura em que o Início de Sessão Único ocorre, seleccione Executar imediatamente antes do Início de Sessão do Utilizador ou Executar imediatamente após o Início de Sessão do Utilizador, dependendo das suas necessidades.

      Os valores predefinidos restantes em Início de Sessão Único são suficientes para as implementações sem fios normais.

    4. Para especificar o tempo máximo, em segundos, para a autenticação 802.1X concluir e autorizar o acesso à rede, em Atraso máximo para conectividade (segundos), introduza um valor, dependendo das suas necessidades.

    5. Para permitir a apresentação de caixas de diálogo durante o Início de Sessão Único, seleccione Permitir a apresentação de caixas de diálogo adicionais durante o Início de Sessão Único.

    6. Para especificar que os computadores sem fios são colocados numa VLAN (Rede Local Virtual) durante o arranque, transitando em seguida para uma rede diferente após o início de sessão do utilizador no computador, seleccione Esta rede utiliza uma VLAN diferente para autenticação com credenciais de computador e utilizador.

    7. Para activar a Itinerância Rápida, em Itinerância Rápida, seleccione Activar Colocação em Cache PMK (Pairwise Master Key). Normalmente, os valores predefinidos para TTL de PMK (minutos) e Número de Entradas na Cache PMK são suficientes para a Itinerância Rápida.

    8. Seleccione Esta rede utiliza pré-autenticação, caso o seu AP sem fios esteja configurado para pré-autenticação. Normalmente, o valor predefinido 3 é suficiente para o Máximo de tentativas de Pré-autenticação.

    9. Para especificar que a criptografia cumpre os requisitos do modo certificado FIPS 140-2, seleccione Efectuar criptografia no modo certificado FIPS 140-2.

  18. Clique em Propriedades. Na caixa de diálogo Propriedades do Smart Card ou Outras Propriedades de Certificado, em Ao ligar, seleccione Utilizar o meu smart card ou seleccione as opções Utilizar um certificado neste computador e Utilizar selecção de certificado simples (Recomendado).

  19. Para exigir que os clientes de acesso validem o certificado de servidor NPS (Servidor de Políticas de Rede), seleccione Validar certificado do servidor.

  20. Para especificar os servidores RADIUS (Remote Authentication Dial-In User Service) que os clientes de acesso com fios devem utilizar para fins de autenticação e autorização, em Ligar a estes servidores, escreva o nome de cada servidor RADIUS, tal como este é apresentado no campo do assunto do certificado de servidor. Utilize o ponto e vírgula para especificar vários nomes de servidor RADIUS.

  21. Em Autoridades de Certificação de Raiz Fidedignas, seleccione a AC que emitiu os certificados para os servidores com o NPS.

  22. Para especificar que os clientes utilizam um nome alternativo para a tentativa de acesso, seleccione Utilizar um nome diferente para esta ligação.

  23. Para uma maior segurança e uma experiência mais enriquecedora do ponto de vista do utilizador, seleccione Não perguntar ao utilizador para autorizar novos servidores ou autoridades de certificação fiáveis.

  24. Clique em OK para fechar a caixa de diálogo Propriedades do Smart Card ou Outras Propriedades de Certificado e regressar à caixa de diálogo Propriedades de Nova Política de Rede Sem Fios.


Sumário