[an error occurred while processing this directive] Настройка проверки подлинности EAP-TLS для беспроводных клиентов под управлением Windows 7 и Windows Vista

[an error occurred while processing this directive]

Эта процедура предназначена для настройки профиля EAP-TLS для проверки подлинности с использованием смарт-карт или других сертификатов.

Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или наличие эквивалентных прав.

Настройка профиля беспроводной связи по протоколу EAP-TLS для компьютеров под управлением Windows Vista
  1. Откройте диалоговое окно «Свойства: новые политики беспроводных сетей (IEEE 802.11)».

  2. На вкладке Общие в поле Имя политики введите новое имя политики или примите имя, предложенное по умолчанию.

  3. В поле Описание введите описание политики.

  4. Установите флажок Windows настраивает беспроводную сеть для клиентов, чтобы использовать службу автонастройки беспроводных сетей для настройки параметров адаптера беспроводной сети.

  5. На вкладке Общие выполните одно из следующих действий.

    • Чтобы добавить и настроить новый профиль, нажмите кнопку Добавить, а затем выберите значение Инфраструктура.

    • Чтобы изменить существующий профиль, выберите нужный профиль, а затем нажмите кнопку Изменить.

  6. При добавлении нового профиля на вкладке Подключение в поле Имя профиля введите имя профиля. При изменении уже добавленного профиля используйте или измените существующее имя профиля.

  7. В окне Сетевые имена (SSID) введите идентификатор SSID, соответствующий точкам беспроводного доступа, и нажмите кнопку Добавить

    Если используется несколько идентификаторов SSID, и на каждой точке беспроводного доступа используются одинаковые параметры безопасности беспроводной связи, повторите это действие, чтобы добавить идентификатор SSID для каждой точки доступа, к которой необходимо применить этот профиль.

    Если используется несколько идентификаторов SSID с различными параметрами безопасности, следует настроить отдельный профиль для каждой группы идентификаторов SSID с одинаковыми параметрами безопасности. Например, если для одной группы точек беспроводного доступа настроено использование параметров «WPA2-предприятие» и AES, а для другой - «WPA-предприятие» и TKIP, следует настроить отдельный профиль для каждой из этих групп.

  8. Чтобы задать автоматическое подключение клиентов к точкам беспроводного доступа, для которых в поле Сетевые имена (SSID) определен идентификатор SSID, установите флажок Подключаться автоматически, если сеть в радиусе действия.

  9. Чтобы задать подключение беспроводных клиентов к сетям в порядке приоритетов, установите флажок Подключаться к более подходящей сети, если она есть.

  10. Если для точки доступа к беспроводной сети настроено подавление рассылки сигналов маяка, выберите параметр Подключаться, даже если сеть не ведет вещание.

    Примечание по безопасности

    Включение этого параметра увеличивает риски с точки зрения безопасности, поскольку беспроводные клиенты будут пытаться установить подключение к любой беспроводной сети. По умолчанию этот параметр отключен.

  11. Откройте вкладку Безопасность. В группе Выберите методы безопасности для данной сети для параметра Проверка подлинности выберите значение WPA2-предприятие, если оно поддерживается точкой беспроводного доступа и сетевыми адаптерами беспроводного клиента. В противном случае выберите значение WPA-предприятие.

    Примечание

    При выборе параметра WPA2 становится возможным изменение параметров быстрого перемещения, недоступных при выборе параметра WPA. Установленные по умолчанию значения параметров быстрого перемещения подходят для большей части беспроводных сетей.

  12. В поле Шифрование выберите значение AES, если оно поддерживается точкой беспроводного доступа и сетевыми адаптерами беспроводного клиента. В противном случае выберите значение TKIP.

    Примечание

    Значения параметров Проверка подлинности и Шифрование должны соответствовать значениям, указанным в точке беспроводного доступа.

  13. В поле Выберите метод проверки подлинности сети выберите параметр Майкрософт: смарт-карта или иной сертификат.

  14. В поле Режим проверки подлинности выберите любые из следующих параметров: Проверка подлинности пользователя или компьютера, Проверка подлинности компьютера, Проверка подлинности пользователя или Проверка подлинности гостя. По умолчанию выбран параметр Проверка подлинности пользователя или компьютера.

  15. В поле Макс. число ошибок проверки укажите максимально допустимое число неудачных попыток подключения перед уведомлением пользователя о неудачном завершении проверки подлинности. По умолчанию установлено значение «1».

  16. Чтобы задать хранение учетных данных пользователя в кэше, выберите параметр Кэшировать пользовательские данные для следующих подключений к этой сети.

  17. Нажмите кнопку Дополнительно и настройте следующие параметры.

    1. Чтобы настроить дополнительные параметры подключений 802.1X, в поле IEEE 802.1X выберите параметр Применить дополнительные параметры 802.1X и установите следующие параметры (при необходимости): Макс. EAPOL-сообщений, Период задержки, Период запуска и Период проверки.

      Значения, устанавливаемые по умолчанию при выборе параметра «Применить дополнительные параметры 802.1X», подходят для большинства беспроводных сетей.

    2. Чтобы включить единый вход, выберите параметр Включить единую регистрацию для сети.

    3. Чтобы определить момент выполнения единого входа, выберите параметры Выполнять непосредственно перед входом пользователя или Выполнять сразу после входа пользователя.

      Остальные значения, установленные по умолчанию, в разделе Единая регистрация, подходят для большинства беспроводных сетей.

    4. Чтобы определить максимальное время, в течение которого должны быть завершены проверка подлинности 802.1X и авторизация доступа к сети, введите соответствующее значение в поле Макс. задержка подключения (сек).

    5. Чтобы разрешить отображение диалоговых окон в процессе единого входа, установите флажок Разрешить отображение дополнительных диалоговых окон при едином входе.

    6. Чтобы указать, что беспроводные компьютеры при запуске помещаются в одну виртуальную локальную сеть, а затем после входа пользователя на компьютер переводятся в различные виртуальные локальные сети, установите флажок Эта сеть использует разные виртуальные локальные сети для проверки подлинности с учетными данными компьютеров и пользователей.

    7. Чтобы включить быстрое перемещение, в поле Быстрое перемещение установите флажок Включить кэширование парных основных ключей (PMK). Для быстрого перемещения обычно подходят установленные по умолчанию значения параметров Срок жизни PMK (мин) и Число записей в кэше PMK.

    8. Если для точки беспроводного доступа настроена предварительная проверка подлинности, установите флажок Сеть использует предварительную проверку подлинности . В большинстве случае значение «3», установленное по умолчанию для параметра Максимальное число попыток предварительной проверки подлинности, является достаточным.

    9. При необходимости установите флажок Выполнять шифрование в сертифицированном режиме FIPS 140-2.

  18. Выберите пункт Свойства. В диалоговом окне Свойства смарт-карты или другого сертификата в поле При подключении выберите параметр Использовать мою смарт-карту или одновременно параметры Использовать сертификат на этом компьютере и Использовать выбор простого сертификата (рек.).

  19. Чтобы включить проверку сертификата сервера политики сети на клиентах доступа, установите флажок Проверять сертификат сервера.

  20. Чтобы определить RADIUS-серверы, которые будут использоваться клиентами проводного доступа для проверки подлинности и авторизации, в разделе Подключение к серверам введите имя каждого RADIUS-сервера в том же виде, в каком оно отображается в поле субъекта сертификата сервера. Имена RADIUS-серверов разделяются точкой с запятой.

  21. В поле Доверенные корневые центры сертификации выберите центр сертификации, который выдал сертификат сервера для сервера политики сети.

  22. Чтобы использовать альтернативные имена клиентов при попытке доступа, выберите параметр Использовать для подключения другое имя пользователя.

  23. Для большего удобства и повышения безопасности выберите параметр Не запрашивать пользователя авторизовать новые серверы или доверенные центры сертификации.

  24. Нажмите кнопку ОК, чтобы закрыть окно Свойства смарт-карты или другого сертификата и вернуться в диалоговое окно Свойства: новая политика для беспроводных сетей.


[an error occurred while processing this directive]