Эта процедура предназначена для настройки профиля EAP-TLS для проверки подлинности с использованием смарт-карт или других сертификатов.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или наличие эквивалентных прав.
Настройка профиля EAP-TLS для проводных подключений |
-
На вкладке Общие выполните следующие действия:
- В поле Имя политики введите имя политики проводной
сети.
- В поле Описание введите краткое описание политики.
- Убедитесь, что установлен флажок Использовать службу
автонастройки проводных сетей Windows для клиентов.
- Чтобы разрешить пользователям компьютеров под управлением
Windows 7 ввод и сохранение учетных данных домена (имя
пользователя и пароль), которые могут использоваться компьютером
для входа в сеть (даже если пользователем не выполнен вход), в
группе Параметры политики Windows 7 установите флажок
Включить явные учетные данные.
- Чтобы задать длительность периода, в течение которого
компьютеры под управлением Windows 7 не могут выполнять
автоматическое подключение к сети, установите флажок Включить
период блокировки, затем в поле Период блокировки (в
минутах) задайте соответствующее значение. Допустимый диапазон:
от 1 до 60 минут.
Примечание Для получения дополнительных сведений о параметрах, доступных на любой из вкладок, нажмите клавишу F1 при работе с ней.
- В поле Имя политики введите имя политики проводной
сети.
-
На вкладке Безопасность выполните следующие действия:
- Выберите параметр Включить проверку подлинности IEEE 802.1X
для доступа к сети.
- В поле Выберите метод проверки подлинности сети выберите
значение Смарт-карта или иной сертификат.
- В поле Режим проверки подлинности выберите любые из
следующих параметров: Проверка подлинности пользователя или
компьютера, Проверка подлинности компьютера, Проверка
подлинности пользователя или Проверка подлинности гостя.
По умолчанию выбран параметр Проверка подлинности пользователя
или компьютера.
- В поле Макс. число ошибок проверки укажите максимально
допустимое число неудачных попыток подключения перед уведомлением
пользователя о неудачном завершении проверки подлинности. По
умолчанию установлено значение «1».
- Чтобы задать хранение учетных данных пользователя в кэше,
выберите параметр Кэшировать пользовательские данные для
следующих подключений к этой сети.
- Выберите параметр Включить проверку подлинности IEEE 802.1X
для доступа к сети.
-
Чтобы настроить единый вход или дополнительные параметры 802.1X, нажмите кнопку Дополнительно. На вкладке Дополнительно выполните следующие действия:
- Чтобы настроить дополнительные параметры 802.1X, выберите
параметр Применить дополнительные параметры 802.1X, а затем
измените (только при необходимости) значения следующих параметров:
Макс. EAPOL-сообщений, Период задержки, Период
запуска, Период проверки и Сообщение
EAPOL-Start.
- Чтобы настроить единый вход, выберите параметр Включить
единую регистрацию для сети, а затем измените (только при
необходимости) значения следующих параметров:
- Выполнять непосредственно перед входом
пользователя
- Выполнять сразу после входа
пользователя
- Макс. задержка подключения
- Разрешить отображение дополнительных
диалоговых окон при едином входе
- Эта сеть использует разные виртуальные
локальные сети для проверки подлинности с учетными данными
компьютеров и пользователей
- Выполнять непосредственно перед входом
пользователя
- Чтобы настроить дополнительные параметры 802.1X, выберите
параметр Применить дополнительные параметры 802.1X, а затем
измените (только при необходимости) значения следующих параметров:
Макс. EAPOL-сообщений, Период задержки, Период
запуска, Период проверки и Сообщение
EAPOL-Start.
-
Нажмите кнопку ОК. Диалоговое окно Дополнительные параметры безопасности закрывается, и отображается вкладка Безопасность. На вкладке Безопасность нажмите кнопку Свойства. Открывается диалоговое окно Свойства смарт-карты или другого сертификата.
-
В диалоговом окне Свойства смарт-карты или другого сертификата выполните следующие действия:
- В поле При подключении выберите параметр Использовать
мою смарт-карту или одновременно параметры Использовать
сертификат на этом компьютере и Использовать выбор простого
сертификата (рек.).
- Выберите параметр Проверять сертификат сервера.
- Чтобы определить RADIUS-серверы, которые будут использоваться
клиентами проводного доступа для проверки подлинности и
авторизации, в разделе Подключение к серверам введите имя
каждого RADIUS-сервера в том же виде, в каком оно отображается в
поле субъекта сертификата сервера. Имена RADIUS-серверов
разделяются точкой с запятой.
- В поле Доверенные корневые центры сертификации выберите
доверенный корневой центр сертификации, который выдал сертификат
сервера для сервера политики сети.
Примечание Этот параметр ограничивает набор доверенных корневых центров сертификации, которым клиенты могут предоставить доверие. Если доверенные корневые центры сертификации не выбраны, клиенты будут доверять всем доверенным корневым центрам сертификации, которые содержатся в их хранилище доверенных корневых центров сертификации.
- Чтобы использовать альтернативные имена клиентов при попытке
доступа, выберите параметр Использовать для подключения другое
имя пользователя.
- Для большего удобства и повышения безопасности выберите
параметр Не запрашивать пользователя авторизовать новые серверы
или доверенные центры сертификации.
- Нажмите кнопку ОК, чтобы сохранить параметры в окне
Свойства смарт-карты или другого сертификата. Еще раз
нажмите кнопку ОК, чтобы вернуться в диалоговое окно
Свойства: новые политики проводных сетей.
- В поле При подключении выберите параметр Использовать
мою смарт-карту или одновременно параметры Использовать
сертификат на этом компьютере и Использовать выбор простого
сертификата (рек.).