Konfigurace rozšířených bezdrátových připojení
Pomocí rozšířeného nastavení zabezpečení sítě Intel nakonfigurujte nastavení sítě WiFi EAP, které není k dispozici v systému Windows Vista* a Windows* 7.
Informace o různých možnostech zabezpečení bezdrátových sítí najdete v části Přehled zabezpečení.
Nastavení nového bezdrátového připojení
Konfigurace nastavení připojení Intel
Nastavení připojení s ověřováním v síti LEAP
Nastavení klienta s ověřováním v síti PEAP
Nastavení připojení s ověřováním v síti EAP-FAST
Nastavení připojení s ověřováním v síti EAP-SIM
Nastavení připojení s ověřováním v síti EAP-TTLS
Nastavení připojení s ověřováním v síti EAP-AKA
Nastavení nového bezdrátového připojení
Nastavení nového bezdrátového připojení a povolení nastavení připojení Intel:
- Otevřete Centrum sítí a sdílení systému Windows*. V systému Windows Vista* klepněte na položky Start > Síť > Centrum sítí a sdílení. V systému Windows* 7 klepněte na položky Start > Ovládací panely > Síť a Internet > Centrum sítí a sdílení.
- Klepněte na možnost Nastavit připojení nebo síť.
- Vyberte možnost Ručně připojit k bezdrátové síti.
- Klepněte na tlačítko Další a zadejte informace o bezdrátové síti.
POZNÁMKA: Pokud jste nainstalovali aplikaci Technologie Intel® My WiFi, bude nutné zvolit bezdrátový adaptér. Vyberte možnost Intel WiFi STA.
- Síťový název: Zadejte identifikátor sítě (SSID).
- Typ zabezpečení: Vyberte možnost 802.1X.
- Typ šifrování: Výchozí nastavení je WEP.
- Bezpečnostní klíč nebo přístupové heslo: Není požadováno.
- Volitelné nastavení:
- Vytvořit připojení automaticky (výchozí)
- Připojit i pokud síť nevysílá
- Klepněte na tlačítko Další; zobrazí se potvrzení, že síť byla úspěšně přidána.
-
Volitelné: Klepněte na možnost Změnit nastavení připojení.
Konfigurace nastavení připojení Intel
- Vyberte možnost Povolit nastavení připojení Intel a nakonfigurujte položky Výběr pásma, Povinný přístupový bod, Automaticky spustit aplikaci a Možnosti Cisco.
- Klepněte na tlačítko Konfigurovat.
- Na tomto panelu můžete nakonfigurovat následující parametry.
Název |
Popis |
Výběr pásma |
Zde můžete vybrat pásmo, které má být použito pro tento profil připojení:
- Smíšené pásmo (výchozí): Pokud vyberete tuto možnost, Nástroj pro připojení Intel® PROSet/Wireless WiFi se pokusí připojit tento profil k dostupné síti používající kterékoli ze dvou pásem.
- Pásmo 2,4 GHz: Pokud vyberete tuto možnost, nástroj pro připojení WiFi se pokusí připojit tento profil k dostupné síti používající pouze pásmo 2,4 GHz.
- Pásmo 5,2 GHz: Pokud vyberete tuto možnost, nástroj pro připojení WiFi se pokusí připojit tento profil k dostupné síti používající pouze pásmo 5.2 GHz.
|
Povinný přístupový bod |
Přikazuje WiFi adaptéru, aby se připojil k přístupovému bodu pomocí konkrétní adresy MAC. Zadejte adresu MAC přístupového bodu (BSSID), 48 bitů, 12 hexadecimálních číslic. Příklad: 00:06:25:0E:9D:84.
Vymazat: Vymaže aktuální adresu.
POZNÁMKA: Tato funkce není k dispozici v provozním režimu ad hoc. |
Automatické spuštění aplikace |
Při každém připojení k této síti automaticky spustí dávkový soubor, spustitelný soubor nebo skript. Lze například automaticky spustit relaci virtuální privátní sítě (VPN), kdykoli se připojíte k bezdrátové síti.
- Klepněte na možnost Povolit automatické spuštění aplikace.
- Zadejte cestu a název souboru programu, který chcete spustit, nebo klepněte na tlačítko Procházet a vyhledejte soubor na pevném disku. Například C:\Program Files\myprogram\myVPNfile.exe.
- Klepnutím na tlačítko OK zavřete okno Nastavení připojení.
|
Možnosti Cisco |
Povolit měření rádia: Vypne nebo zapne tuto službu. Umožňuje nakonfigurovat nastavení Cisco pro funkci Měření rádia a související služby. Výběrem této možnosti bude WiFi adaptér provádět správu bezdrátové komunikace infrastruktury Cisco. Pokud se v infrastruktuře používá nástroj Cisco Radio Management, konfiguruje parametry bezdrátové komunikace, zjišťuje rušení a neověřené přístupové body. Ve výchozí konfiguraci tato možnost není vybrána. |
- Chcete-li přidat další zabezpečení, klepněte na kartu Zabezpečení. Otevře se okno Vlastnosti bezdrátové sítě.
- Typ zabezpečení: Vyberte možnost Intel - CCKM - podniky.
- Typ šifrování: Vyberte jednu z následujících možností:
- WEP: Výchozí, pokud je vybrán typ zabezpečení Intel - CCKM - podniky.
- TKIP: Protokol TKIP poskytuje kombinování klíčů v paketech, kontrolu integrity zpráv (MIC) a mechanismus vystavování nových klíčů.
- AES - CCMP: (Advanced Encryption Standard - Counter CBC-MAC Protocol) Používá se jako způsob šifrování dat, pokud je důležitá silná ochrana dat. AES -CCMP doporučená možnost.
- Zavřete okno klepnutím na tlačítko OK.
Nastavení připojení s ověřováním v síti LEAP
LEAP je typ ověřování pro bezdrátové sítě LAN, které podporuje silné vzájemné ověřování mezi klientem a serverovým systémem pomocí přihlašovacího hesla jako sdíleného tajného klíče. Poskytuje dynamické šifrovací klíče pro jednoho uživatele a jednu relaci. Ověřování Cisco LEAP poskytuje:
- skutečné jednotné přihlášení pomocí stávajícího uživatelského jména a hesla pomocí služby Active Directory systému Windows NT nebo Windows 2000,
- zjednodušené, levné nasazení a správu pro spráce IT,
- spolehlivou, škálovatelnou a centralizovanou správu zabezpečení,
- vysoce výkonné a rozšiřitelné zabezpečení podnikové kategorie,
- dynamickou ochranu důvěrných informací, je-li použito s protokoly TKIP nebo AES.
Nastavení ověřování v síti LEAP
- V okně Vlastnosti bezdrátové sítě na kartě Zabezpečení v seznamu Typ zabezpečení vyberte možnost WPA - podniky, WPA2 - podniky, 802.1X nebo Intel - CCKM - podniky.
- V seznamu Typ šifrování vyberte požadované šifrování.
- V části Vyberte metodu ověření v síti vyberte možnost LEAP.
- Klepněte na položku Nastavení.
Konfigurace síťových pověření

- Vyberte kartu Síťová pověření. Nakonfigurujte uživatelské jméno a heslo výběrem jedné z následujících možností:
- Použít uživatelské jméno a heslo systému Windows. Při výběru této možnosti bude jako pověření LEAP pro ověřování v síti použito uživatelské jméno a heslo systému Windows.
- Automaticky vyzvat k zadání uživatelského jména a hesla. Tato možnost použije k ověřování v síti samostatné uživatelské jméno a heslo LEAP. Toto uživatelské jméno a heslo musí být zaregistrováno na serverovém systému.
- Použít uložené uživatelské jméno a heslo. Tato možnost použije k ověřování v síti uložené uživatelské jméno a heslo LEAP. Tato možnost nevyžaduje zadání uživatelského jména a hesla LEAP při každém ověření. Ověřování probíhá automaticky podle potřeby pomocí uloženého uživatelského jména a hesla (která jsou zaregistrována na serverovém systému).
Konfigurace uloženého uživatelského jména a hesla:
- Zadejte uložené uživatelské jméno a doménu o délce nejvýše 256 znaků do pole Uživatelské jméno. Použijte některý z následujících formátů:
> doménově kvalifikované uživatelské jméno (doména\uživatel)
> formát UPN (uživatel@doména)
- Zadejte heslo o délce nejvýše 256 znaků do pole Heslo.
- Zadejte heslo znovu do pole Potvrzení hesla.
- Klepnutím na tlačítko OK uložte nastavení a zavřete dialogové okno Vlastnosti ověřování LEAP.
Nastavení klienta s ověřováním v síti PEAP
PEAP je typ ověřování pro bezdrátové sítě LAN. Ověřování PEAP poskytuje vysoké zabezpečení, rozšiřitelnost databáze uživatelů a podporu jednorázového ověřování pomocí tokenu, změnu hesla a dobu platnosti hesla. Ověřování PEAP je založeno na ověřování EAP-TLS na straně serveru. Pomocí ověřování PEAP se mohou organizace vyhnout problémům souvisejícím s instalací digitálních certifikátů na každý klientský počítač, což vyžaduje protokol EAP-TLS; místo toho mohou vybrat metody ověřování klientů, například přihlašovací hesla nebo jednorázová hesla (OTP), podle potřeb společnosti. Klient Cisco PEAP také umožňuje skrýt identifikační uživatelské jméno, dokud není vytvořen šifrovaný tunel TLS. Tím je dále zvýšena ochrana důvěrných údajů, protože uživatelská jména nejsou přenášena během fáze ověřování. Ověřování PEAP poskytuje následující výhody zabezpečení:
- využívá protokol TLS k umožnění nešifrovaných typů ověřování, jako například EAP-GTC a podpory jednorázových hesel,
- používá digitální certifikační ověřování na základě infrastruktury PKI na straně serveru,
- rozšiřuje možnosti ověřování na celou řadu adresářů včetně LDAP, Novell NDS* a databází OTP,
- používá protokol TLS k šifrování všech uživatelsky citlivých ověřovacích informací,
- podporuje změnu hesla při vypršení platnosti,
- neodhaluje přihlašovací uživatelské jméno v odpovědi identity EAP,
- není zranitelné vůči slovníkovým útokům,
- poskytuje dynamickou ochranu důvěrných informací, je-li použito s protokoly TKIP nebo AES.
Nastavení ověřování PEAP
- V okně Vlastnosti bezdrátové sítě na kartě Zabezpečení v seznamu Typ zabezpečení vyberte možnost WPA - podniky, WPA2 - podniky, 802.1X nebo Intel - CCKM - podniky.
- V seznamu Typ šifrování vyberte požadované šifrování.
- V části Vyberte metodu ověření v síti vyberte možnost Cisco: PEAP.
- Klepněte na položku Nastavení.
Konfigurace pověření uživatele

- Vyberte kartu Pověření uživatele. Nakonfigurujte uživatelské jméno a heslo výběrem jedné z následujících možností:
- Použít jednorázové heslo. Při výběru této možnosti bude uživatel vyzván k zadání jednorázového hesla, které bude použito jako pověření PEAP pro ověřování v síti. Jestliže použijete možnost Použít jednorázové heslo, bude nutné vygenerovat jednorázové heslo. Pověření nejsou ukládána do mezipaměti; pokaždé, když server vyžádá pověření, bude uživatel vyzván k zadání pověření.
- Použít uživatelské jméno a heslo systému Windows. Při výběru této možnosti bude jako pověření PEAP pro ověřování v síti použito uživatelské jméno a heslo systému Windows.
- Automaticky vyzvat k zadání uživatelského jména a hesla. Tato možnost použije k ověřování v síti samostatné uživatelské jméno a heslo PEAP. Toto uživatelské jméno a heslo musí být zaregistrováno na serverovém systému.
- Použít uložené uživatelské jméno a heslo. Tato možnost použije k ověřování v síti uložené uživatelské jméno a heslo PEAP. Tato možnost nevyžaduje zadání uživatelského jména a hesla PEAP při každém ověření. Ověřování probíhá automaticky podle potřeby pomocí uloženého uživatelského jména a hesla (která jsou zaregistrována na serverovém systému).
Konfigurace uloženého uživatelského jména a hesla:
- Zadejte uložené uživatelské jméno a doménu o délce nejvýše 256 znaků do pole Uživatelské jméno. Použijte některý z následujících formátů:
> doménově kvalifikované uživatelské jméno (doména\uživatel)
> formát UPN (uživatel@doména)
- Zadejte heslo o délce nejvýše 256 znaků do pole Heslo.
- Zadejte heslo znovu do pole Potvrzení hesla.
- Vyberte kartu Připojení a nastavte konfiguraci na této kartě nebo klepnutím na tlačítko OK uložte nastavení a zavřete dialogové okno Vlastnosti ověřování PEAP.
Konfigurace připojení
Kartu Připojení použijte k nakonfigurování nastavení, které řídí navazování připojení.
- Vyberte kartu Připojení.
- Pokud chcete povolit ochranu osobních údajů identity, zaškrtněte políčko Použít anonymní vnější identitu.
- Zadejte do pole vnější identitu. Tato identita bude použita jako vnější identita v odpovědi na žádost o identitu EAP. Výchozí hodnota je „anonymous“; zjistěte u správce, zda je třeba tuto hodnotu změnit. (Můžete zadat nejvýše 256 znaků.)
- Pokud k vytvoření tunelu používáte ověřený certifikát serveru, zaškrtněte políčko Ověřit certifikát serveru.
- Chcete-li zadat volitelný název serveru, který musí odpovídat certifikátu serveru předloženému serverem, zaškrtněte políčko Připojovat jen k těmto serverům a zadejte do pole název serveru. Chcete-li zadat více názvů serverů, oddělte je středníkem.
POZNÁMKA: Ověřování PEAP povolí pokračování připojení jen v případě, že pole Běžný název a Alternativní název subjektu v certifikátu serveru odpovídají některému ze zadaných názvů serverů.
- Chcete-li vybrat certifikát důvěryhodného kořenového certifikačního úřadu (CA), který bude použit k ověření certifikátu serveru, zaškrtněte důvěryhodný certifikát nebo certifikáty v poli Důvěryhodný kořenový certifikační úřad (CA).
POZNÁMKA: V rozevíracím seznamu jsou zobrazeny jen certifikáty důvěryhodných certifikačních úřadů, které jsou nainstalovány v hostitelském systému. Poklepáním na certifikát důvěryhodného kořenového certifikačního úřadu zobrazíte podrobnosti certifikátu.
- Pokud zaškrtnete políčko Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů, určíte, že pokud název serveru neodpovídá, nebo pokud certifikát serveru není podepsán některým z vybraných důvěryhodných certifikačních úřadů, uživatel nebude vyzván k autorizaci připojení. Ověření se místo toho nezdaří.
- Chcete-li povolit rychlé obnovení připojení, zaškrtněte políčko Povolit rychlé obnovení připojení.
- Klepnutím na tlačítko OK uložte nastavení a zavřete dialogové okno Vlastnosti ověřování PEAP.
Nastavení připojení s ověřováním v síti EAP-FAST
EAP-FAST je veřejně dostupný typ protokolu EAP vyvinutý společností Cisco Systems. K dispozici je několik protokolů EAP, které lze zavést v kabelových i bezdrátových sítích. Nejčastěji používané protokoly EAP jsou Cisco LEAP, PEAP a EAP-TLS. Kromě těchto protokolů společnost Cisco vyvinula a implementovala protokol EAP-FAST jako standardizovaný protokol EAP, které lze zavést v kabelových i bezdrátových sítích LAN. Hlavní funkce protokolu EAP-FAST:
- zabezpečené vzájemné ověření v rámci šifrování tunelu TLS, které zabraňuje slovníkovým útokům,
- šifrování a kryptografická vazba tunelu TLS, které zabraňují útokům MITM, efektivita a nenáročnost umožňující snadné zavedení (nejsou vyžadovány certifikáty ani infrastruktura PKI),
- Ochrana osobních údajů identity,
- rychlé obnovení připojení,
- ochrana a flexibilita umožňující podporovat rozšířené uživatelské databáze prostřednictvím různých vnitřních metod,
- efektivita a možnosti umožňující snížit nároky serveru na prostředky.
Tato implementace ověřování EAP-FAST dále podporuje:
- Podpora jednotného přihlášení integrovaná s procesem přihlášení systému Windows Vista* a Windows* 7 a architekturou EAPHost,
- doba platnosti hesla (podpora serverového vypršení platnosti hesla),
- hlavní funkce sítě Cisco Unified Wireless LAN, jako například rychlý zabezpečený roaming, CCKM a místní ověřování RADIUS,
- podpora řešení Cisco NAC a Microsoft NAP pro ověřování stavu.
Nastavení ověřování EAP-FAST
- V okně Vlastnosti bezdrátové sítě na kartě Zabezpečení v seznamu Typ zabezpečení vyberte možnost WPA - podniky, WPA2 - podniky, 802.1X nebo Intel - CCKM - podniky.
- V seznamu Typ šifrování vyberte požadované šifrování.
- V části Vyberte metodu ověření v síti vyberte možnost EAP-FAST.
- Klepněte na položku Nastavení.
Konfigurace pověření uživatele

- Vyberte kartu Pověření uživatele. Nakonfigurujte uživatelské jméno a heslo výběrem jedné z následujících možností:
- Použít certifikát v tomto počítači. Certifikát byl už vybrán certifikačním úřadem a je vydán pro každého uživatele zvlášt.
- Použít jednorázové heslo. Při výběru této možnosti bude uživatel vyzván k zadání jednorázového hesla, které bude použito jako pověření PEAP-GTC pro ověřování v síti. Jestliže použijete možnost Použít jednorázové heslo, bude nutné vygenerovat jednorázové heslo. Pověření nejsou ukládána do mezipaměti; pokaždé, když server vyžádá pověření, bude uživatel vyzván k zadání pověření.
- Použít uživatelské jméno a heslo systému Windows. Při výběru této možnosti bude jako pověření EAP-FAST pro ověřování v síti použito uživatelské jméno a heslo systému Windows.
- Automaticky vyzvat k zadání uživatelského jména a hesla. Tato možnost použije k ověřování v síti samostatné uživatelské jméno a heslo PEAP-GTC. Toto uživatelské jméno a heslo musí být zaregistrováno na serverovém systému.
- Použít uložené uživatelské jméno a heslo. Tato možnost použije k ověřování v síti uložené uživatelské jméno a heslo PEAP-GTC. Tato možnost nevyžaduje zadání uživatelského jména a hesla EAP-FAST při každém ověření. Ověřování probíhá automaticky podle potřeby pomocí uloženého uživatelského jména a hesla (která jsou zaregistrována na serverovém systému).
Konfigurace uloženého uživatelského jména a hesla:
- Zadejte uložené uživatelské jméno a doménu o délce nejvýše 256 znaků do pole Uživatelské jméno. Použijte některý z následujících formátů:
> doménově kvalifikované uživatelské jméno (doména\uživatel)
> formát UPN (uživatel@doména)
- Zadejte heslo o délce nejvýše 256 znaků do pole Heslo.
- Zadejte heslo znovu do pole Potvrzení hesla.
- Vyberte kartu Připojení a nastavte konfiguraci na této kartě nebo klepnutím na tlačítko OK uložte nastavení a zavřete dialogové okno Vlastnosti ověřování PEAP-GTC.
Konfigurace nastavení připojení
Kartu Připojení použijte k nakonfigurování nastavení, které řídí navazování připojení.
- Pokud chcete povolit ochranu osobních údajů identity, zaškrtněte na kartě Připojení políčko Použít anonymní vnější identitu.
- Zadejte do pole vnější identitu. Tato identita bude použita jako vnější identita v odpovědi na žádost o identitu EAP. Výchozí hodnota je „anonymous“; zjistěte u správce, zda je třeba tuto hodnotu změnit. (Nejvýše 256 znaků.)
- Pokud k vytvoření tunelu používáte pověření PAC, zaškrtněte políčko Použít certifikát PAC (Protected Access Credentials). Jestliže toto políčko nezaškrtnete, bude se ověřování EAP-FAST chovat jako ověřování PEAP a k vytvoření tunelu bude pokaždé použit jen ověřený certifikát serveru.
- Chcete-li povolit automatické načtení pověření PAC během ověřování EAP-FAST, zaškrtněte políčko Povolit automatické zajišťování pověření PAC.
- (Volitelné) V rozevíracím seznamu Certifikační úřad PAC vyberte certifikační úřad PAC nebo klepnutím na tlačítko Importovat... naimportujte soubor PAC.
POZNÁMKA: Rozevírací seznam obsahuje názvy všech certifikačních úřadů PAC, od kterých bylo již dříve zajištěno tunelové pověření PAC. Pokud jste dosud nezajistili pověření PAC, je k dispozici pouze možnost Žádný. Výběrem možnosti Žádný také můžete vynutit, aby hostitel požádal o zajištění pověření PAC.
- Pokud k vytvoření tunelu používáte ověřený certifikát serveru, zaškrtněte políčko Ověřit certifikát serveru.
POZNÁMKA: K vytvoření tunelu můžete použít políčko Použít certifikát PAC (Protected Access Credentials) i Ověřit certifikát serveru. V tom případě se ověřování EAP-FAST vždy pokusí použít nejprve pověření PAC; pokud toto pověření PAC chybí nebo je serverem odmítnuto, ověřování EAP-FAST použije certifikát serveru.
- Chcete-li zadat volitelný název serveru, který musí odpovídat certifikátu serveru předloženému serverem, zaškrtněte políčko Připojovat jen k těmto serverům a zadejte do pole název serveru. Více názvů serverů oddělte středníkem.
POZNÁMKA: Ověřování EAP-FAST povolí pokračování připojení jen v případě, že pole subjektu v certifikátu serveru odpovídá některému ze zadaných názvů serverů.
- Vyberte v seznamu Důvěryhodný kořenový certifikační úřad (CA) certifikát důvěryhodného kořenového certifikačního úřadu (CA), který bude použit k ověření certifikátu serveru. V rozevíracím seznamu jsou zobrazeny jen certifikáty důvěryhodných certifikačních úřadů, které jsou nainstalovány v hostitelském systému. Můžete vybrat více důvěryhodných kořenových certifikačních úřadů. Poklepáním na certifikát důvěryhodného kořenového certifikačního úřadu zobrazíte podrobnosti certifikátu.
- Pokud zaškrtnete políčko Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů, určíte, že pokud název serveru neodpovídá, nebo pokud certifikát serveru není podepsán některým z vybraných důvěryhodných certifikačních úřadů, uživatel nebude vyzván k autorizaci připojení. Ověření se místo toho nezdaří.
- Vyberte další kartu, kterou chcete nakonfigurovat, nebo klepnutím na tlačítko OK uložte nastavení a zavřete dialogové okno Vlastnosti ověřování EAP-FAST.
Konfigurace nastavení ověřování
Na kartě Ověřování nakonfigurujte nastavení ověřování.
- Na kartě Ověřování vyberte v rozevíracím seznamu metodu ověřování. Vyberte jednu z následujících metod:
- Jakákoli metoda (výchozí nastavení) – tato možnost umožňuje protokolu EAP-FAST zvolit kteroukoli z podporovaných metod, které server EAP vyžádá.
- EAP-GTC – pokud jste na kartě Pověření uživatele vybrali možnost Použít jednorázové heslo, je tato možnost jedinou dostupnou možností.
- EAP-MS-CHAP-V2
- EAP-TLS – pokud jste na kartě Pověření uživatele vybrali možnost Použít certifikát v tomto počítači, je tato možnost jedinou dostupnou možností.
POZNÁMKA: Ve verzi 2.0 modulu EAP-FAST není tlačítko Konfigurovat povoleno.
- Chcete-li povolit pokračování relace, zaškrtněte políčko Povolit rychlé obnovení připojení.
- Chcete-li povolit dotazování na informace o stavu hostitelského počítače, zaškrtněte políčko Povolit ověření stavu.
- Vyberte další kartu, kterou chcete nakonfigurovat, nebo klepnutím na tlačítko OK uložte nastavení a zavřete dialogové okno Vlastnosti ověřování EAP-FAST.
Nastavení připojení s ověřováním v síti EAP-SIM
Ověřování EAP-SIM používá k šifrování dat dynamický relační klíč WEP, který je odvozen od klientského adaptéru a serveru RADIUS. Šifrování EAP-SIM vyžaduje ke komunikaci s kartou SIM (Subscriber Identity Module) zadání kódu ověření uživatele (PIN). Karta SIM je speciální karta Smart používaná digitálními mobilními sítěmi standardu GSM (Global System for Mobile Communications).
POZNÁMKA: Při vytváření profilu správce pro systém Windows Vista nebo Windows* 7, který používá ověřování EAP-SIM, není k dispozici typ ověřování v síti Sdílené. Dále nelze vytvářet trvalé profily správce s ověřování EAP-SIM.
POZNÁMKA: Pokud je při vytváření profilu správce pro systém Windows Vista nebo Windows* 7 nastaveno otevřené ověřování v síti, šifrování dat je pevně nastaveno na možnost WEP.
Nastavení ověřování EAP-SIM
- V okně Vlastnosti bezdrátové sítě na kartě Zabezpečení v seznamu Typ zabezpečení vyberte možnost WPA - podniky, WPA2 - podniky, 802.1X nebo Intel - CCKM - podniky.
- V seznamu Typ šifrování vyberte požadované šifrování.
- V části Vyberte metodu ověření v síti vyberte možnost EAP-SIM.
- Klepněte na položku Nastavení.
- Na panelu níže zaškrtněte políčko Zadat uživatelské jméno (identitu), aby bylo možné zadat uživatelské jméno.
- Uživatelské jméno Zadejte uživatelské jméno přiřazené kartě SIM.
- Klepněte na tlačítko OK.
Nastavení připojení s ověřováním v síti EAP-TTLS
Ověřování TTLS: Toto nastavení definuje protokol a identifikační informace použité k ověření uživatele. Klient používá protokol EAP-TLS k ověření serveru a vytvoření kanálu se šifrováním TLS mezi klientem a serverem. Klient může použít jiný ověřovací protokol. Protokoly založené na heslu typicky odesílají dotazy tímto šifrovaným kanálem a umožňují tak ověření serveru. Balíčky s dotazem a odpovědí jsou odesílány šifrovaným neveřejným kanálem TLS. Současné implementace ověřování TTLS podporují všechny metody definované protokolem EAP.
Ověřovací protokoly
- PAP: Password Authentication Protocol – dvoucestný signalizační protokol navržený k použití s protokolem PPP. Protokol PAP využívá prosté textové heslo používané ve starších systémech SLIP. Tento protokol není zabezpečený.
- CHAP: Challenge Handshake Authentication Protocol – třícestný signalizační protokol, který je považován za bezpečnější než ověřovací protokol PAP.
- MS-CHAP (MD4): Využívá protokol RSA Message Digest 4 Challenge-and-Reply ve verzi společnosti Microsoft. Tato metoda funguje jen v systémech Microsoft a umožňuje šifrování dat. Při výběru této metody ověřování budou všechna data šifrována.
- MS-CHAP-V2: Zavádí další funkci, která není k dispozici v protokolu MS-CHAP-V1 nebo při standardním ověřování CHAP – funkci změny hesla. Tato funkce umožňuje klientovi změnit heslo účtu, pokud server RADIUS oznámí, že platnost hesla vypršela.
Nastavení ověřování v síti EAP-TTLS
Krok 1 ze 2: Uživatel TTLS
Nastavení připojení s ověřováním EAP-TTLS:
- V okně Vlastnosti bezdrátové sítě na kartě Zabezpečení v seznamu Typ zabezpečení vyberte možnost WPA - podniky, WPA2 - podniky, 802.1X nebo Intel - CCKM - podniky.
- V seznamu Typ šifrování vyberte požadované šifrování.
- V části Vyberte metodu ověření v síti: Vyberte možnost EAP-TTLS.
- Klepněte na položku Nastavení.
- Protokol pro ověřování: Tento parametr určuje protokol pro ověřování, který funguje v tunelu TTLS. Jedná se o tyto protokoly: PAP (výchozí), CHAP, MS-CHAP a MS-CHAP-V2. Další informace najdete v části Přehled zabezpečení.
- Pověření uživatele: Vyberte možnost Zobrazit výzvu při každém připojení, Použít následující nebo Použít přihlášení systému Windows.
Název |
Popis |
Zobrazit výzvu při každém připojení |
Před připojením k bezdrátové síti bude uživatel vyzván k zadání uživatelského jména a hesla. Uživatelské jméno a heslo musí předem nastavit správce na ověřovacím serveru. |
Použít následující |
Uživatelské jméno a heslo jsou bezpečně (šifrovaně) uloženy do profilu.
-
Uživatelské jméno: Toto uživatelské jméno musí být totožné s uživatelským jménem nastaveným na ověřovacím serveru.
-
Doména: Název domény ověřovacího serveru. Název serveru označuje doménu nebo některou její poddoménu (například zeelans.com, kde server je blueberry.zeelans.com). Název domény vám sdělí správce.
-
Heslo: Toto heslo musí odpovídat heslu nastavenému na ověřovacím serveru. Zadané znaky hesla se zobrazí jako hvězdičky.
-
Potvrzení hesla: Zadejte heslo uživatele znovu.
|
Použít přihlášení systému Windows |
Použije přihlašovací parametry systému Windows a uživatel nebude vyzván k zadání dalších informací. |
- Identita pro roaming: Není-li políčko Identita pro roaming zaškrtnuto, je jako výchozí použita identita %domain%\%username%.
Používáte-li server 802.1X MS RADIUS jako ověřovací, tento server ověřuje zařízení pomocí uživatelského jména Identita pro roaming nástroje pro připojení WiFi a ignoruje uživatelské jméno Protokol pro ověřování MS-CHAP-V2. Tato funkce je identita 802.1X dodaná ověřovateli. Pro klienty EAP přijímá server Microsoft IAS RADIUS pouze platné uživatelské jméno (uživatel dotNet). Používáte-li server 802.1X MS RADIUS, zadejte platné uživatelské jméno. V případě ostatních serverů není toto pole povinné. Z tohoto důvodu doporučujeme nepoužívat skutečnou identitu, ale požadovanou sféru (například anonym@sfera).
Krok 2 ze 2: Server TTLS
-
Vyberte jednu z následujících možností:
Název |
Popis |
Ověřit certifikát serveru |
Vydavatel certifikátu: Certifikát serveru přijatý během výměny zpráv TTLS musí být vystaven tímto certifikačním úřadem. Vybrat lze důvěryhodné zprostředkované certifikační úřady a kořenové úřady, jejichž certifikáty existují v systémovém úložišti. Vyberete-li možnost Jakýkoli důvěryhodný certifikační úřad, je přijatelný libovolný úřad v seznamu. |
Zadat název serveru nebo certifikátu |
Název serveru nebo certifikátu: Zadejte název serveru.
Název serveru nebo doména, do které server patří, závisí na tom, která z následujících možností byla vybrána:
-
Název serveru se musí přesně shodovat s uvedeným zadáním: Vyberte-li tuto možnost, musí název serveru přesně odpovídat názvu serveru uvedenému v certifikátu. Název serveru musí obsahovat úplný název domény (například název_serveru.název_domény). Název serveru může obsahovat všechny znaky včetně speciálních.
-
Název domény musí končit uvedeným zadáním: Vyberte-li tuto možnost, název serveru označuje doménu a certifikát musí mít název serveru, který patří do této domény nebo do některé poddomény (například zeelans.com, kde server je blueberry.zeelans.com). Tyto parametry získáte od správce.
|
- Klepnutím na tlačítko OK uložíte nastavení a zavřete stránku.
Nastavení připojení s ověřováním v síti EAP-AKA
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) je mechanismus EAP pro ověřování a distribuci klíče relace, který používá kartu USIM (Subscriber Identity Module) systému UMTS (Universal Mobile Telecommunications System). Karta USIM je speciální karta Smart používaná mobilními sítěmi k ověření daného uživatele v síti.
Nastavení ověřování EAP-AKA
- V okně Vlastnosti bezdrátové sítě na kartě Zabezpečení v seznamu Typ zabezpečení vyberte možnost WPA - podniky, WPA2 - podniky, 802.1X nebo Intel - CCKM - podniky.
- V seznamu Typ šifrování vyberte požadované šifrování.
- V části Vyberte metodu ověření v síti: Vyberte možnost EAP-AKA.
- Klepněte na položku Nastavení.
- Zadat uživatelské jméno (identitu): Klepnutím zadejte uživatelské jméno.
- Uživatelské jméno: Zadejte uživatelské jméno přiřazené kartě USIM.
- Klepněte na tlačítko OK.