Эта процедура предназначена для настройки профиля PEAP-TLS для проверки подлинности клиентов с использованием смарт-карт или других сертификатов.

Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или наличие эквивалентных прав.

Настройка профиля PEAP-TLS для проводных подключений

  1. На вкладке Общие выполните следующие действия:

    1. В поле Имя политики введите имя политики проводной сети.

    2. В поле Описание введите краткое описание политики.

    3. Убедитесь, что установлен флажок Использовать службу автонастройки проводных сетей Windows для клиентов.

    4. Чтобы разрешить пользователям компьютеров под управлением Windows 7 ввод и сохранение учетных данных домена (имя пользователя и пароль), которые могут использоваться компьютером для входа в сеть (даже если пользователем не выполнен вход), в группе Параметры политики Windows 7 установите флажок Включить явные учетные данные.

    5. Чтобы задать длительность периода, в течение которого компьютеры под управлением Windows 7 не могут выполнять автоматическое подключение к сети, установите флажок Включить период блокировки, затем в поле Период блокировки (в минутах) задайте соответствующее значение. Допустимый диапазон: от 1 до 60 минут.

      Примечание

      Для получения дополнительных сведений о параметрах, доступных на любой из вкладок, нажмите клавишу F1 при работе с ней.

  2. На вкладке Безопасность выполните следующие действия:

    1. Выберите параметр Включить проверку подлинности IEEE 802.1X для доступа к сети.

    2. В поле Выберите метод проверки подлинности сети выберите параметр Майкрософт: защищенные EAP (PEAP).

    3. В поле Режим проверки подлинности выберите любые из следующих параметров: Проверка подлинности пользователя или компьютера, Проверка подлинности компьютера, Проверка подлинности пользователя или Проверка подлинности гостя. По умолчанию выбран параметр Проверка подлинности пользователя или компьютера.

    4. В поле Макс. число ошибок проверки укажите максимально допустимое число неудачных попыток подключения перед уведомлением пользователя о неудачном завершении проверки подлинности. По умолчанию установлено значение «1».

    5. Чтобы задать хранение учетных данных пользователя в кэше, выберите параметр Кэшировать пользовательские данные для следующих подключений к этой сети.

  3. Чтобы настроить единый вход или дополнительные параметры 802.1X, нажмите кнопку Дополнительно. На вкладке Дополнительно выполните следующие действия:

    1. Чтобы настроить дополнительные параметры 802.1X, выберите параметр Применить дополнительные параметры 802.1X, а затем измените (только при необходимости) значения следующих параметров: Макс. EAPOL-сообщений, Период задержки, Период запуска, Период проверки и Сообщение EAPOL-Start.

    2. Чтобы настроить единый вход, выберите параметр Включить единую регистрацию для сети, а затем измените (только при необходимости) значения следующих параметров:

      • Выполнять непосредственно перед входом пользователя

      • Выполнять сразу после входа пользователя

      • Макс. задержка подключения

      • Разрешить отображение дополнительных диалоговых окон при едином входе

      • Эта сеть использует разные виртуальные локальные сети для проверки подлинности с учетными данными компьютеров и пользователей

  4. Нажмите кнопку ОК. Диалоговое окно Дополнительные параметры безопасности закрывается, и отображается вкладка Безопасность. На вкладке Безопасность нажмите кнопку Свойства. Открывается диалоговое окно Свойства защищенного EAP.

  5. В диалоговом окне Свойства защищенного EAP выполните следующие действия.

    1. Выберите параметр Проверять сертификат сервера.

    2. Чтобы определить RADIUS-серверы, которые будут использоваться клиентами проводного доступа для проверки подлинности и авторизации, в разделе Подключение к серверам введите имя каждого RADIUS-сервера в том же виде, в каком оно отображается в поле субъекта сертификата сервера. Имена RADIUS-серверов разделяются точкой с запятой.

    3. В поле Доверенные корневые центры сертификации выберите доверенный корневой центр сертификации, который выдал сертификат сервера для серверов политики сети.

      Примечание

      Этот параметр ограничивает набор доверенных корневых центров сертификации, которым клиенты могут предоставить доверие. Если доверенные корневые центры сертификации не выбраны, клиенты будут доверять всем доверенным корневым центрам сертификации, которые содержатся в их хранилище доверенных корневых центров сертификации.

    4. Для большего удобства и повышения безопасности выберите параметр Не запрашивать пользователя авторизовать новые серверы или доверенные центры сертификации.

    5. В поле Выберите метод проверки подлинности выберите значение Смарт-карта или иной сертификат.

    6. Чтобы включить быстрое переподключение PEAP, выберите параметр Включить быстрое переподключение.

    7. Чтобы указать, что перед разрешением подключения к сети на клиентских компьютерах должны выполняться проверки работоспособности системы в соответствии с требованиями к работоспособности, выберите параметр Включить защиту доступа к сети.

    8. Чтобы сделать обязательной привязку с шифрованием TLV, выберите пункт Отключаться, если сервер не поддерживает привязку с шифрованием через механизм TLV.

    9. Чтобы отключить отправку клиентами удостоверений в текстовом формате перед проверкой подлинности на RADIUS-сервере, выберите элемент Включить удостоверение конфиденциальности и затем пункт Анонимное удостоверение, введите имя, значение или оставьте поле пустым.

      Например, если включен параметр Включить удостоверение конфиденциальности и в качестве анонимного удостоверения используется «гость», в качестве отклика для пользователя с удостоверением maria@realm возвращается guest@realm. Если параметр Включить удостоверение конфиденциальности включен, но значение анонимного удостоверения не предоставлено, в качестве отклика возвращается @realm.

    10. Чтобы настроить свойства PEAP-TLS, нажмите кнопку Настройка, выберите элемент Свойства смарт-карты или другого сертификата и настройте следующие элементы в соответствии с требованиями:

      • В поле При подключении выберите параметр Использовать мою смарт-карту или одновременно параметры Использовать сертификат на этом компьютере и Использовать выбор простого сертификата (рек.).

      • Чтобы включить проверку сертификата сервера политики сети на клиентах доступа, установите флажок Проверять сертификат сервера.

      • Чтобы определить RADIUS-серверы, которые будут использоваться клиентами проводного доступа для проверки подлинности и авторизации, в разделе Подключение к серверам введите имя каждого RADIUS-сервера в том же виде, в каком оно отображается в поле субъекта сертификата сервера. Имена RADIUS-серверов разделяются точкой с запятой.

      • В поле Доверенные корневые центры сертификации выберите центр сертификации, который выдал сертификаты сервера для сети.

      • Чтобы использовать альтернативные имена клиентов при попытке доступа, выберите параметр Использовать для подключения другое имя пользователя.

      • Чтобы отключить вывод запросов о доверии сертификату сервера, если он неправильно настроен или не имеет доверия, установите флажок Не запрашивать пользователя авторизовать новые серверы или доверенные центры сертификации (рекомендуется).

      • Нажмите кнопку ОК, чтобы закрыть окно Свойства смарт-карты или другого сертификата, а затем еще раз нажмите кнопку ОК, чтобы закрыть окно Свойства защищенного EAP (PEAP). При этом снова откроется диалоговое окно Свойства: новые политики проводных сетей.

Содержание