Följ den här proceduren om du vill konfigurera en PEAP-MS-CHAP v2-profil (Protected Extensible Authentication Protocol–Microsoft Challenge Handshake Authentication Protocol version 2) – för att autentisera en klient med hjälp av skyddade lösenord.
Minimikravet för att kunna slutföra proceduren är att du är medlem i gruppen Domänadministratörer eller motsvarande.
Så här konfigurerar du en PEAP-MS-CHAP v2-profil för kabelanslutna anslutningar |
Gör något av följande på fliken Allmänt:
-
Skriv ett namn för principen för det kabelanslutna nätverket i Principnamn.
-
Skriv en kort beskrivning av principen i Beskrivning.
-
Kontrollera att Använd Windows-tjänsten Wired Auto Config för klienter har markerats.
- Tillåt användare med datorer som kör Windows 7 att ange och lagra sina domänautentiseringsuppgifter (användarnamn och lösenord), som sedan kan användas för inloggning i datorns nätverk, genom att markera Aktivera uttryckliga autentiseringsuppgifter i Principinställningar för Windows 7.
- Ange hur länge datorer med Windows 7 ska förbjudas att göra automatiska anslutningsförsök till nätverket genom att markera Aktivera blockeringsperiod och sedan ange hur många minuter du vill att blockeringsperioden ska gälla i Blockeringsperiod (minuter). Det giltiga intervallet är mellan 1 och 60 minuter.
OBS Mer information om inställningarna på en flik får du om trycker på F1 när fliken visas.
-
Skriv ett namn för principen för det kabelanslutna nätverket i Principnamn.
Gör följande på fliken Säkerhet:
-
Markera Aktivera IEEE 802.1X-autentisering för nätverksåtkomst.
-
I Välj autentiseringsmetod för nätverket markerar du Microsoft: Skyddad EAP (PEAP).
-
I Autentiseringsläge väljer du något av följande, beroende på vad du behöver: Användar- eller datorautentisering (rekommenderas), Datorautentisering, Användarautentisering eller Gästautentisering. Användar- eller datorautentisering är valt som standard.
-
Ange hur många anslutningsförsök som får misslyckas innan användaren får ett meddelande om att autentiseringen har misslyckats i Högsta antal autentiseringsfel. Som standard är värdet angett till 1.
-
Markera Cachelagra användarinformation för framtida anslutningar till det här nätverket när användarautentiseringsuppgifter ska sparas i cacheminnet.
-
Markera Aktivera IEEE 802.1X-autentisering för nätverksåtkomst.
Konfigurera enkel inloggning eller avancerade 802.1X-inställningar genom att klicka på Avancerat. Gör följande på fliken Avancerat:
-
Konfigurera avancerade 802.1X-inställningar genom att markera Använd avancerade 802.1X-inställningar och sedan ändra inställningarna, om det behövs, för: Högsta antal Eapol-startmeddelanden, Kvarhållning, Startperiod, Autentiseringsperiod, Eapol-startmeddelande.
-
Konfigurera enkel inloggning genom att markera Aktivera enkel inloggning för det här nätverket och sedan ändra inställningarna, om det behövs, för:
- Utför omedelbart innan inloggning av användare
- Utför omedelbart efter inloggning av användare
- Maximal fördröjning för anslutning
- Tillåt att ytterligare dialogrutor visas under enkel inloggning
- Det här nätverket använder ett annat virtuellt lokalt nätverk för autentisering med autentiseringsuppgifter för dator och användare
- Utför omedelbart innan inloggning av användare
-
Konfigurera avancerade 802.1X-inställningar genom att markera Använd avancerade 802.1X-inställningar och sedan ändra inställningarna, om det behövs, för: Högsta antal Eapol-startmeddelanden, Kvarhållning, Startperiod, Autentiseringsperiod, Eapol-startmeddelande.
Klicka på OK. Dialogrutan Avancerade säkerhetsinställningar stängs, och du återgår till fliken Säkerhet. Klicka på Egenskaper på fliken Säkerhet. Dialogrutan Skyddade EAP-egenskaper öppnas.
Gör följande i dialogrutan Skyddade EAP-egenskaper:
-
Markera Bekräfta servercertifikat.
- Om du vill ange vilka RADIUS-servrar (Remote Authentication Dial-In User Service) som ska användas i dina kabelanslutna åtkomstklienter för autentisering och auktorisering, skriver du namnet på RADIUS-servrarna i Anslut till följande servrar, exakt som namnet visas i servercertifikatets ämnesfält. Använd semikolon för att ange namn på flera RADIUS-servrar.
-
Markera den betrodda rotcertifikatutfärdaren som har utfärdat servercertifikatet för NPS-servern i Betrodda rotcertifikatutfärdare.
OBS Inställningen begränsar antalet betrodda rotcertifikatutfärdare till de valda värdena. Om inga betrodda rotcertifikatutfärdare markeras har klienterna förtroende för alla betrodda rotcertifikatutfärdare i arkivet.
- Om du vill ha förbättrad säkerhet och bättre användarupplevelse, markerar du Fråga inte om användaren vill auktorisera nya servrar eller betrodda certifikatutfärdare.
- Markera Skyddat lösenord (EAP-MSCHAP v2) i Välj autentiseringsmetod.
-
Markera Aktivera snabb återanslutning när du vill ange att PEAP Fast Reconnect är aktivt.
-
Ange att systemhälsokontroller med NAP (Network Access Protection) görs på klientdatorer för att garantera att de uppfyller hälsokraven innan de får ansluta till nätverket genom att markera Använd NAP.
- Kräv kryptografibindnings-TLV genom att markera Koppla ifrån om servern inte erbjuder kryptografibindnings-TLV.
- Konfigurera klientdatorerna så att identiteten inte skickas i klartext innan klientdatorn har autentiserat RADIUS-servern genom att markera Aktivera Identitetsskydd och ange ett namn eller värde i Anonym identitet eller lämna fältet tomt.
Om t.ex. Aktivera Identitetsskydd är markerat och du använder "gäst" som anonym identitet, får en användare med identiteten karin@sfar identiteten gast@sfar. Om du markerar Aktivera Identitetsskydd utan att ange en anonym identitet blir identiteten @sfar. -
Spara inställningarna i Skyddade EAP-egenskaper genom att klicka på OK. Klicka sedan på OK igen för att spara principen.
-
Markera Bekräfta servercertifikat.