Med den här metoden kan du konfigurera en PEAP-TLS-profil (Protected Extensible Authentication Protocol–Transport Layer Security) för klientautentisering där smartkort eller andra certifikat används.

Minimikravet för att kunna slutföra proceduren är att du är medlem av gruppen Domänadministratörer eller motsvarande.

Konfigurera en profil för kabelanslutna PEAP-TLS-anslutningar

  1. Gör något av följande på fliken Allmänt:

    1. Skriv ett namn på principen för det kabelanslutna nätverket i Principnamn.

    2. Skriv en kort beskrivning av principen i Beskrivning.

    3. Kontrollera att Använd Windows-tjänsten Wired Auto Config för klienter.

    4. Välj Aktivera explicita autentiseringsuppgifter i Principinställningar för Windows 7 om du vill tillåta användare med datorer som kör Windows 7 att ange och lagra sina domänautentiseringsuppgifter (användarnamn och lösenord), som datorn sedan kan använda för att logga in i nätverket (även om användaren inte har loggat in aktivt).

    5. Om du vill ange hur länge datorer som kör Windows 7 inte får försöka ansluta automatiskt till nätverket väljer du Aktivera blockeringsperiod och anger sedan i hur många minuter blockeringsperioden ska vara i Blockeringsperiod (minuter). Det giltiga minutintervallet är 1-60.

      OBS

      Mer information om inställningarna på en flik får du om trycker på F1 när fliken visas.

  2. Gör följande på fliken Säkerhet:

    1. Markera Aktivera IEEE 802.1X-autentisering för nätverksåtkomst.

    2. Markera Microsoft: Skyddad EAP (PEAP) i Välj autentiseringsmetod för nätverket.

    3. Välj mellan följande alternativ i Autentiseringsläge: Användar- eller datorautentisering, Datorautentisering, Användarautentisering, Gästautentisering. Standardvärdet är Användar- eller datorautentisering.

    4. Ange hur många anslutningsförsök som får misslyckas innan användaren får ett meddelande om att autentiseringen har misslyckats i Högsta antal autentiseringsfel. Standardvärdet är "1".

    5. Markera Cachelagra användarinformation för framtida anslutningar till det här nätverket när användarautentiseringsuppgifter ska sparas i cacheminnet.

  3. Konfigurera enkel inloggning eller avancerade 802.1X-inställningar genom att klicka på Avancerat. Gör följande på fliken Avancerat:

    1. Konfigurera avancerade 802.1X-inställningar genom att markera Framtvinga avancerade 802.1X-inställningar och sedan ändra inställningarna, om det behövs, för: Högsta antal Eapol-startmeddelanden, Kvarhållning, Startperiod, Autentiseringsperiod, Eapol-startmeddelande.

    2. Konfigurera enkel inloggning genom att markera Aktivera enkel inloggning för det här nätverket och sedan ändra inställningarna, om det behövs, för:

      • Utför omedelbart innan inloggning av användare

      • Utför omedelbart efter inloggning av användare

      • Maximal fördröjning för anslutning

      • Tillåt att ytterligare dialogrutor visas under enkel inloggning

      • Det här nätverket använder ett annat virtuellt lokalt nätverk för autentisering med autentiseringsuppgifter för dator och användare

  4. Klicka på OK. Dialogrutan Avancerade säkerhetsinställningar stängs och fliken Säkerhet visas igen. Klicka på Egenskaper på fliken Säkerhet. Dialogrutan Skyddade EAP-egenskaper öppnas.

  5. Gör följande i dialogrutan Egenskaper för Protected EAP:

    1. Markera Bekräfta servercertifikat.

    2. Skriv namnet på varje RADIUS-server i Anslut till följande servrar exakt så som de stavas i ämnesfältet i servercertifikatet för att ange vilka RADIUS-servrar (Remote Authentication Dial-In User Service) som de trådbundna klienterna måste använda för autentisering och auktorisering. Skilj RADIUS-servrarna åt med semikolon.

    3. Markera den betrodda rotcertifikatutfärdaren som har utfärdat servercertifikatet till NPS-servrarna i Betrodda rotcertifikatutfärdare.

      OBS

      Inställningen begränsar antalet betrodda rotcertifikatutfärdare till de valda värdena. Om inga betrodda rotcertifikatutfärdare markeras har klienterna förtroende för alla betrodda rotcertifikatutfärdare i arkivet.

    4. Välj Fråga inte om användaren vill auktorisera nya servrar eller betrodda certifikatutfärdare för ökad säkerhet och för att förenkla för användaren.

    5. Markera Smartkort eller annat certifikat i Välj autentiseringsmetod.

    6. Aktivera snabb återanslutning med PEAP genom att välja Aktivera snabb återanslutning.

    7. Välj Använd NAP (Network Access Protection) om du vill ange att NAP (Network Access Protection) ska utföra kontrollen av systemhälsan på klienterna för att säkerställa att de uppfyller hälsokraven innan anslutningar till nätverket tillåts.

    8. Välj Koppla ifrån om servern inte erbjuder kryptografibindnings-TLV om du vill att kryptografibindningsvärdet ska användas.

    9. Välj Aktivera Identitetsskydd och skriv sedan ett namn eller värde i Anonym identitet eller lämna fältet tomt om du vill ställa in klienterna så att de inte skickar sin identitet i klartext innan klienten har autentiserats mot RADIUS-servern.

      Exempel: om du har aktiverat Aktivera Identitetsskydd och använder "gäst" som anonymt identitetsvärde är identitetsresponsen för en användare med identiteten alice@sfär gäst@sfär. Om du väljer Aktivera Identitetsskydd men inte anger ett anonymt identitetsvärde blir identitetssvaret @sfär.

    10. Konfigurera PEAP-TLS-egenskaper genom att klicka på Konfigurera och sedan ställa in följande till de värden som krävs i Egenskaper för smartkort eller annat certifikat:

      • Markera antingen Använd mitt smartkort eller både Använd ett certifikat på den här datorn och Använd enkelt certifikatval (rekommenderas) i När jag anslutar.

      • Välj Bekräfta servercertifikat om du vill att åtkomstklienterna ska verifiera NPS-serverns certifikat.

      • Skriv namnet på varje RADIUS-server i Anslut till följande servrar exakt så som det stavas i ämnesfältet i servercertifikatet för att ange vilka RADIUS-servrar som de kabelanslutna klienterna måste använda för autentisering och auktorisering. Skilj RADIUS-servernamnen åt med semikolon.

      • Välj den certifikatutfärdare som har utfärdat NPS-servercertifikat i nätverket Betrodda rotcertifikatutfärdare.

      • Välj Använd ett annan användarnamn på anslutningen för att ange att klienterna använder ett annat namn på anslutningsförsöket.

      • Hindra användare från att bli tillfrågade om huruvida de litar på ett servercertifikat om certifikatet är felaktigt konfigurerat, inte redan är betrott eller både och genom att välja Fråga inte om användaren vill auktorisera nya servrar eller betrodda certifikatutfärdare. (Rekommenderas.)

      • Stäng dialogrutan Egenskaper för smartkort eller annat certifikat genom att klicka på OK . Klicka sedan på OK igen för att stänga dialogrutan Egenskaper för skyddad EAP (PEAP). Då kommer du tillbaka till dialogrutan Egenskaper för Ny princip för kabelanslutet nätverk.

Innehåll