Эта процедура предназначена для настройки профиля EAP-TLS для проверки подлинности с использованием смарт-карт или других сертификатов.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или наличие эквивалентных прав.
Настройка профиля беспроводной связи по протоколу EAP-TLS для компьютеров под управлением Windows Vista |
-
Откройте диалоговое окно «Свойства: новые политики беспроводных сетей (IEEE 802.11)».
-
На вкладке Общие в поле Имя политики введите новое имя политики или примите имя, предложенное по умолчанию.
-
В поле Описание введите описание политики.
-
Установите флажок Windows настраивает беспроводную сеть для клиентов, чтобы использовать службу автонастройки беспроводных сетей для настройки параметров адаптера беспроводной сети.
-
На вкладке Общие выполните одно из следующих действий.
-
Чтобы добавить и настроить новый профиль, нажмите кнопку Добавить, а затем выберите значение Инфраструктура.
-
Чтобы изменить существующий профиль, выберите нужный профиль, а затем нажмите кнопку Изменить.
-
-
При добавлении нового профиля на вкладке Подключение в поле Имя профиля введите имя профиля. При изменении уже добавленного профиля используйте или измените существующее имя профиля.
-
В окне Сетевые имена (SSID) введите идентификатор SSID, соответствующий точкам беспроводного доступа, и нажмите кнопку Добавить
Если используется несколько идентификаторов SSID, и на каждой точке беспроводного доступа используются одинаковые параметры безопасности беспроводной связи, повторите это действие, чтобы добавить идентификатор SSID для каждой точки доступа, к которой необходимо применить этот профиль.
Если используется несколько идентификаторов SSID с различными параметрами безопасности, следует настроить отдельный профиль для каждой группы идентификаторов SSID с одинаковыми параметрами безопасности. Например, если для одной группы точек беспроводного доступа настроено использование параметров «WPA2-предприятие» и AES, а для другой - «WPA-предприятие» и TKIP, следует настроить отдельный профиль для каждой из этих групп.
-
Чтобы задать автоматическое подключение клиентов к точкам беспроводного доступа, для которых в поле Сетевые имена (SSID) определен идентификатор SSID, установите флажок Подключаться автоматически, если сеть в радиусе действия.
-
Чтобы задать подключение беспроводных клиентов к сетям в порядке приоритетов, установите флажок Подключаться к более подходящей сети, если она есть.
-
Если для точки доступа к беспроводной сети настроено подавление рассылки сигналов маяка, выберите параметр Подключаться, даже если сеть не ведет вещание.
Примечание по безопасности Включение этого параметра увеличивает риски с точки зрения безопасности, поскольку беспроводные клиенты будут пытаться установить подключение к любой беспроводной сети. По умолчанию этот параметр отключен.
-
Откройте вкладку Безопасность. В группе Выберите методы безопасности для данной сети для параметра Проверка подлинности выберите значение WPA2-предприятие, если оно поддерживается точкой беспроводного доступа и сетевыми адаптерами беспроводного клиента. В противном случае выберите значение WPA-предприятие.
Примечание При выборе параметра WPA2 становится возможным изменение параметров быстрого перемещения, недоступных при выборе параметра WPA. Установленные по умолчанию значения параметров быстрого перемещения подходят для большей части беспроводных сетей.
-
В поле Шифрование выберите значение AES, если оно поддерживается точкой беспроводного доступа и сетевыми адаптерами беспроводного клиента. В противном случае выберите значение TKIP.
Примечание Значения параметров Проверка подлинности и Шифрование должны соответствовать значениям, указанным в точке беспроводного доступа.
-
В поле Выберите метод проверки подлинности сети выберите параметр Майкрософт: смарт-карта или иной сертификат.
-
В поле Режим проверки подлинности выберите любые из следующих параметров: Проверка подлинности пользователя или компьютера, Проверка подлинности компьютера, Проверка подлинности пользователя или Проверка подлинности гостя. По умолчанию выбран параметр Проверка подлинности пользователя или компьютера.
-
В поле Макс. число ошибок проверки укажите максимально допустимое число неудачных попыток подключения перед уведомлением пользователя о неудачном завершении проверки подлинности. По умолчанию установлено значение «1».
-
Чтобы задать хранение учетных данных пользователя в кэше, выберите параметр Кэшировать пользовательские данные для следующих подключений к этой сети.
-
Нажмите кнопку Дополнительно и настройте следующие параметры.
-
Чтобы настроить дополнительные параметры подключений 802.1X, в поле IEEE 802.1X выберите параметр Применить дополнительные параметры 802.1X и установите следующие параметры (при необходимости): Макс. EAPOL-сообщений, Период задержки, Период запуска и Период проверки.
Значения, устанавливаемые по умолчанию при выборе параметра «Применить дополнительные параметры 802.1X», подходят для большинства беспроводных сетей.
-
Чтобы включить единый вход, выберите параметр Включить единую регистрацию для сети.
-
Чтобы определить момент выполнения единого входа, выберите параметры Выполнять непосредственно перед входом пользователя или Выполнять сразу после входа пользователя.
Остальные значения, установленные по умолчанию, в разделе Единая регистрация, подходят для большинства беспроводных сетей.
-
Чтобы определить максимальное время, в течение которого должны быть завершены проверка подлинности 802.1X и авторизация доступа к сети, введите соответствующее значение в поле Макс. задержка подключения (сек).
-
Чтобы разрешить отображение диалоговых окон в процессе единого входа, установите флажок Разрешить отображение дополнительных диалоговых окон при едином входе.
-
Чтобы указать, что беспроводные компьютеры при запуске помещаются в одну виртуальную локальную сеть, а затем после входа пользователя на компьютер переводятся в различные виртуальные локальные сети, установите флажок Эта сеть использует разные виртуальные локальные сети для проверки подлинности с учетными данными компьютеров и пользователей.
-
Чтобы включить быстрое перемещение, в поле Быстрое перемещение установите флажок Включить кэширование парных основных ключей (PMK). Для быстрого перемещения обычно подходят установленные по умолчанию значения параметров Срок жизни PMK (мин) и Число записей в кэше PMK.
-
Если для точки беспроводного доступа настроена предварительная проверка подлинности, установите флажок Сеть использует предварительную проверку подлинности . В большинстве случае значение «3», установленное по умолчанию для параметра Максимальное число попыток предварительной проверки подлинности, является достаточным.
-
При необходимости установите флажок Выполнять шифрование в сертифицированном режиме FIPS 140-2.
-
-
Выберите пункт Свойства. В диалоговом окне Свойства смарт-карты или другого сертификата в поле При подключении выберите параметр Использовать мою смарт-карту или одновременно параметры Использовать сертификат на этом компьютере и Использовать выбор простого сертификата (рек.).
-
Чтобы включить проверку сертификата сервера политики сети на клиентах доступа, установите флажок Проверять сертификат сервера.
-
Чтобы определить RADIUS-серверы, которые будут использоваться клиентами проводного доступа для проверки подлинности и авторизации, в разделе Подключение к серверам введите имя каждого RADIUS-сервера в том же виде, в каком оно отображается в поле субъекта сертификата сервера. Имена RADIUS-серверов разделяются точкой с запятой.
-
В поле Доверенные корневые центры сертификации выберите центр сертификации, который выдал сертификат сервера для сервера политики сети.
-
Чтобы использовать альтернативные имена клиентов при попытке доступа, выберите параметр Использовать для подключения другое имя пользователя.
-
Для большего удобства и повышения безопасности выберите параметр Не запрашивать пользователя авторизовать новые серверы или доверенные центры сертификации.
-
Нажмите кнопку ОК, чтобы закрыть окно Свойства смарт-карты или другого сертификата и вернуться в диалоговое окно Свойства: новая политика для беспроводных сетей.