Följ den här proceduren om du vill konfigurera en PEAP-MS-CHAP v2-profil (Protected Extensible Authentication Protocol–Microsoft Challenge Handshake Authentication Protocol version 2) – för att autentisera en klient med hjälp av skyddade lösenord.

Minimikravet för att kunna slutföra proceduren är att du är medlem i gruppen Domänadministratörer eller motsvarande.

Så här konfigurerar du en PEAP-MS-CHAP v2-profil för kabelanslutna anslutningar

  1. Gör något av följande på fliken Allmänt:

    1. Skriv ett namn för principen för det kabelanslutna nätverket i Principnamn.

    2. Skriv en kort beskrivning av principen i Beskrivning.

    3. Kontrollera att Använd Windows-tjänsten Wired Auto Config för klienter har markerats.

    4. Tillåt användare med datorer som kör Windows 7 att ange och lagra sina domänautentiseringsuppgifter (användarnamn och lösenord), som sedan kan användas för inloggning i datorns nätverk, genom att markera Aktivera uttryckliga autentiseringsuppgifter i Principinställningar för Windows 7.

    5. Ange hur länge datorer med Windows 7 ska förbjudas att göra automatiska anslutningsförsök till nätverket genom att markera Aktivera blockeringsperiod och sedan ange hur många minuter du vill att blockeringsperioden ska gälla i Blockeringsperiod (minuter). Det giltiga intervallet är mellan 1 och 60 minuter.

      OBS

      Mer information om inställningarna på en flik får du om trycker på F1 när fliken visas.

  2. Gör följande på fliken Säkerhet:

    1. Markera Aktivera IEEE 802.1X-autentisering för nätverksåtkomst.

    2. I Välj autentiseringsmetod för nätverket markerar du Microsoft: Skyddad EAP (PEAP).

    3. I Autentiseringsläge väljer du något av följande, beroende på vad du behöver: Användar- eller datorautentisering (rekommenderas), Datorautentisering, Användarautentisering eller Gästautentisering. Användar- eller datorautentisering är valt som standard.

    4. Ange hur många anslutningsförsök som får misslyckas innan användaren får ett meddelande om att autentiseringen har misslyckats i Högsta antal autentiseringsfel. Som standard är värdet angett till 1.

    5. Markera Cachelagra användarinformation för framtida anslutningar till det här nätverket när användarautentiseringsuppgifter ska sparas i cacheminnet.

  3. Konfigurera enkel inloggning eller avancerade 802.1X-inställningar genom att klicka på Avancerat. Gör följande på fliken Avancerat:

    1. Konfigurera avancerade 802.1X-inställningar genom att markera Använd avancerade 802.1X-inställningar och sedan ändra inställningarna, om det behövs, för: Högsta antal Eapol-startmeddelanden, Kvarhållning, Startperiod, Autentiseringsperiod, Eapol-startmeddelande.

    2. Konfigurera enkel inloggning genom att markera Aktivera enkel inloggning för det här nätverket och sedan ändra inställningarna, om det behövs, för:

      • Utför omedelbart innan inloggning av användare

      • Utför omedelbart efter inloggning av användare

      • Maximal fördröjning för anslutning

      • Tillåt att ytterligare dialogrutor visas under enkel inloggning

      • Det här nätverket använder ett annat virtuellt lokalt nätverk för autentisering med autentiseringsuppgifter för dator och användare

  4. Klicka på OK. Dialogrutan Avancerade säkerhetsinställningar stängs, och du återgår till fliken Säkerhet. Klicka på Egenskaper på fliken Säkerhet. Dialogrutan Skyddade EAP-egenskaper öppnas.

  5. Gör följande i dialogrutan Skyddade EAP-egenskaper:

    1. Markera Bekräfta servercertifikat.

    2. Om du vill ange vilka RADIUS-servrar (Remote Authentication Dial-In User Service) som ska användas i dina kabelanslutna åtkomstklienter för autentisering och auktorisering, skriver du namnet på RADIUS-servrarna i Anslut till följande servrar, exakt som namnet visas i servercertifikatets ämnesfält. Använd semikolon för att ange namn på flera RADIUS-servrar.

    3. Markera den betrodda rotcertifikatutfärdaren som har utfärdat servercertifikatet för NPS-servern i Betrodda rotcertifikatutfärdare.

      OBS

      Inställningen begränsar antalet betrodda rotcertifikatutfärdare till de valda värdena. Om inga betrodda rotcertifikatutfärdare markeras har klienterna förtroende för alla betrodda rotcertifikatutfärdare i arkivet.

    4. Om du vill ha förbättrad säkerhet och bättre användarupplevelse, markerar du Fråga inte om användaren vill auktorisera nya servrar eller betrodda certifikatutfärdare.

    5. Markera Skyddat lösenord (EAP-MSCHAP v2) i Välj autentiseringsmetod.

    6. Markera Aktivera snabb återanslutning när du vill ange att PEAP Fast Reconnect är aktivt.

    7. Ange att systemhälsokontroller med NAP (Network Access Protection) görs på klientdatorer för att garantera att de uppfyller hälsokraven innan de får ansluta till nätverket genom att markera Använd NAP.

    8. Kräv kryptografibindnings-TLV genom att markera Koppla ifrån om servern inte erbjuder kryptografibindnings-TLV.

    9. Konfigurera klientdatorerna så att identiteten inte skickas i klartext innan klientdatorn har autentiserat RADIUS-servern genom att markera Aktivera Identitetsskydd och ange ett namn eller värde i Anonym identitet eller lämna fältet tomt.

      Om t.ex. Aktivera Identitetsskydd är markerat och du använder "gäst" som anonym identitet, får en användare med identiteten karin@sfar identiteten gast@sfar. Om du markerar Aktivera Identitetsskydd utan att ange en anonym identitet blir identiteten @sfar.

    10. Spara inställningarna i Skyddade EAP-egenskaper genom att klicka på OK. Klicka sedan på OK igen för att spara principen.

Innehåll