Konfigurer avancerede trådløse forbindelser
Brug Intel avancerede netværkssikkerhedsindstillinger til at konfigurere EAP WiFi netværksindstillinger, der ikke er tilgængelige i Windows Vista* eller Windows* 7.
Se Sikkerhedsoversigt, hvor der er flere oplysninger om de forskellige sikkerhedsfunktioner for trådløse netværk.
Opsæt en ny trådløs forbindelse
Konfigurer Intel-tilslutningsindstillinger
Opsæt en forbindelse med LEAP-netværksgodkendelse
Opsæt en klient med PEAP-netværksgodkendelse
Opsæt en tilslutning med EAP-FAST-netværksgodkendelse
Opsæt en forbindelse med EAP-SIM-netværksgodkendelse
Opsæt en forbindelse med EAP-TTLS-netværksgodkendelse
Opsæt en forbindelse med EAP-AKA-netværksgodkendelse
Opsæt en ny trådløs forbindelse
Sådan opsættes en ny trådløs forbindelse og aktiveres Intel tilslutningsindstillingerne:
- Åbn Windows* Netværks- og delingscenter. For Windows Vista*, klik på Start > Netværk > Netværks- og delingscenter. For Windows* 7, klik på Start > Kontrolpanel > Netværk og Internet > Netværks- og delingscenter.
- klik på Opsæt en forbindelse eller et netværk.
- Vælg Tilslut manuelt til et trådløst netværk.
- Klik på Næste for at angive oplysninger om trådløst netværk.
BEMÆRK: Hvis du har installeret Intel® My WiFi teknologi, skal du Vælge en trådløs adapter. Vælg Intel WiFi STA.
- Netværksnavn: Indtast netværks-ID (SSID).
- Sikkerhedstype: Vælg 802.1X.
- Krypteringstype: Vælger WEP som standard.
- Sikkerhedsnøgle/Adgangsfrase: Ikke nødvendig.
- Valgfri indstillinger:
- Start denne forbindelse automatisk (standard).
- Opret forbindelse, selvom netværket ikke anvender broadcasting.
- Klik på Næste for at få bekræftet, at netværket er blevet tilføjet.
-
Valgfrit: Klik på Skift tilslutningsindstillinger.
Konfigurer Intel-tilslutningsindstillinger
- Vælg Aktiver Intel tilslutningsindstillinger for at konfigurere valg af bånd, obligatorisk adgangspunkt, automatisk start af program og/eller Cisco-funktioner.
- Klik på Konfigurer.
- På dette panel kan du konfigurere de følgende parametre:
Navn |
Beskrivelse |
Valg af bånd |
Her kan du vælge det bånd, der skal anvendes til denne tilslutningsprofil:
- Blandet bånd (standard): Vælg denne, hvis du vil have Intel(R) PROSet/Wireless WiFi tilslutningsværktøjet til at forsøge at tilslutte denne profil til et tilgængeligt netværk med et af de to bånd.
- 2,4 GHz bånd: Vælg denne, hvis du vil have WiFi tilslutningsværktøjet til at forsøge at tilslutte denne profil til et tilgængeligt netværk kun med 2,4 GHz båndet.
- 5,2 GHz bånd: Vælg denne, hvis du vil have WiFi tilslutningsværktøjet til at forsøge at tilslutte denne profil til et tilgængeligt netværk kun med 5,2 GHz båndet.
|
Obligatorisk adgangspunkt |
Tvinger WiFi-adapteren til at tilslutte til et adgangspunkt ved hjælp af en bestemt MAC-adresse. Indtast adgangspunktets MAC-adresse (BSSID), 48-bit, 12 hexadecimale cifre. F.eks. 00:06:25:0E:9D:84.
Slet: Slet den aktuelle adresse.
BEMÆRK: Denne funktion er ikke tilgængelig, når ad hoc-tilstand bruges. |
Automatisk start af program |
Starter automatisk en batchfil, exe-fil eller et script, når du tilslutter til dette netværk. F.eks. start en Virtual Private Network (VPN) session automatisk, når du tilslutter til et trådløst netværk.
- Klik på Aktiver Automatisk start af program.
- Indtast stien og filnavnet på det program, du vil starte, eller klik på Gennemse for at finde filen på harddisken. F.eks. C:\Programmer\mitprogram\minVPNfile.exe.
- Klik på OK for at lukke Tilslutningsindstillinger.
|
Cisco-indstillinger |
Aktiver radiomåling: Slå denne service fra. Lader dig konfigurere Cisco-indstillinger for radiomåling og relaterede serviceydelser. Vælg, for at få WiFi-adapteren til at sørge for radio management i Cisco-infrastrukturen. Hvis værktøjet Cisco Radiostyring bruges i infrastrukturen, konfigurerer det radioparametre, registrerer interferens og Rogue-adgangspunkter. Standardindstillingen er slået fra. |
- Vælg Sikkerhed, hvis du vil tilføje ekstra sikkerhed. Egenskaber for trådløst netværk åbnes.
- Sikkerhedstype: Vælg Intel - CCKM - Enterprise.
- Krypteringstype: Marker en af følgende:
- WEP: standard, når Intel - CCKM - Koncern vælges som sikkerhedstype.
- TKIP: Giver pr. pakke-nøgleblanding, en meddelelsesintegritetskontrol og en omnøglemekanisme.
- AES - CCMP: (Advanced Encryption Standard - Counter CBC-MAC Protocol) anvendes som datakrypteringsmetode, når stærk databeskyttelse er vigtig. AES-CCMP anbefales.
- Klik på OK for at lukke dette vindue.
Opsæt en forbindelse med LEAP-netværksgodkendelse
LEAP er en godkendelsestype for trådløse lokalnetværk, der understøtter stærk gensidig godkendelse mellem klienten og en "backend"-server ved brug af en logon-adgangskode som den delte hemmelighed. Det giver dynamiske krypteringsnøgler pr. bruger, pr. session. Cisco LEAP giver:
- Ægte enkel logon med et eksisterende brugernavn og adgangskode ved hjælp af Windows NT/2000 Active Directory
- Forenklet, billig udsendelse og administration for IT-chefer
- Pålidelig, skalerbar, centraliseret sikkerhedsadministration
- Højtydende sikkerhed i koncernklassen, der kan opgraderes
- Dynamisk fortrolighedsbeskyttelse i forbindelse med TKIP eller AES
Opsæt LEAP-netværksgodkendelse
- I vinduet Egenskaber for trådløst netværk, fanen Sikkerhed, under Sikkerhedstype skal du vælge WPA-Koncern, WPA2-Koncern, 802.1x eller Intel-CCKM-Koncern.
- Under Krypteringstype skal du vælge den ønskede kryptering.
- Vælg LEAP under Vælg en metode til netværksgodkendelse.
- Klik på Indstillinger.
Konfigurer netværkslegitimationsoplysninger

- Vælg fanen Netværkslegitimationsoplysninger. Vælg en af følgende muligheder for at konfigurere brugernavn og adgangskode:
- Brug Windows brugernavn og adgangskode. Denne funktion bruger Windows-brugernavn og -adgangskode som LEAP-legitimationsoplysninger til netværksgodkendelse.
- Anmod automatisk om brugernavn og adgangskode. Denne funktion bruger et separat LEAP-brugernavn og -adgangskode til netværksgodkendelse. Brugernavnet og adgangskoden skal registreres hos "backend"-serveren.
- Brug gemt brugernavn og adgangskode. Denne funktion bruger et gemt LEAP-brugernavn og -adgangskode til netværksgodkendelse. Denne funktion kræver ikke, at du angiver et FAST-brugernavn og adgangskode hver gang. Godkendelsen sker automatisk efter behov ved hjælp at et gemt brugernavn og adgangskode (som er registreret hos "backend"-serveren).
Sådan konfigurerer du gemt brugernavn og adgangskode:
- Indtast det gemte brugernavn og domæne i feltet Brugernavn, op til 256 tegn. Brug et af følgende formater:
> Domæne-kvalificeret brugernavn (domæne\bruger)
> UPN-format (bruger@domæne)
- Indtast adgangskoden i feltet Adgangskode, op til 256 tegn.
- Indtast adgangskoden igen i feltet Bekræft adgangskode.
- Klik på OK for at gemme dine indstillinger og lukke dialogboksen LEAP-egenskaber.
Opsæt en klient med PEAP-netværksgodkendelse
PEAP er en godkendelsestype til trådløse LAN. PEAP giver stærk sikkerhed, brugerdatabase, der kan udvides, og understøttelse af engangs token-godkendelse samt ændring eller forældelse af adgangskode. PEAP er baseret på en server-side EAP-TLS. Med PEAP kan organisationer undgå de problemer, der er knyttet til installation af digitale certifikater på hver klientmaskine, som kræves af EAP-TLS. I stedet kan de vælge metoderne til klientgodkendelse, som f.eks. logon-adgangskoder eller OTP'er, der passer bedst til deres virksomheds behov. Cisco PEAP-klienten inkluderer muligheden for at skjule brugernavnsidentiteter, indtil TLS-krypteret tunnel er oprettet, hvilket yder ekstra fortrolighed for, at brugernavne ikke rundsendes i godkendelsesfasen. PEAP giver følgende sikkerhedsmæssige fordele:
- Er afhængig af TLS for at kunne tillade ikke-krypterede godkendelsestyper, som f.eks. EAP-GTC og OTP-understøttelse
- Bruger server-side PKI-baseret digital certificeringsgodkendelse
- Tillader godkendelse af et udvidet antal biblioteker, inkl. LDAP-, Novell NDS*- og OTP-databaser
- Bruger TLS til at kryptere alle brugerfølsomme godkendelsesoplysninger
- Understøtter ændring og udløb af adgangskode
- Afslører ikke logon-brugernavnet i EAP-identitetssvaret
- Er ikke sårbar over for databaseangreb
- Giver dynamisk fortrolighedsbeskyttelse i forbindelse med TKIP eller AES
Opsæt PEAP-godkendelse
- I vinduet Egenskaber for trådløst netværk, fanen Sikkerhed, under Sikkerhedstype skal du vælge WPA-Koncern, WPA2-Koncern, 802.1x eller Intel-CCKM-Koncern.
- Under Krypteringstype skal du vælge den ønskede kryptering.
- Under Vælg en metode til netværksgodkendelse, vælg Cisco: PEAP.
- Klik på Indstillinger.
Konfigurer brugerlegitimationsoplysninger

- Vælg fanen Brugerlegitimationsoplysninger. Vælg en af følgende muligheder for at konfigurere brugernavn og adgangskode:
- Brug engangsadgangskode. Denne indstilling anmoder brugeren om en engangsadgangskode som PEAP-brugerlegitimationsoplysninger til netværksgodkendelse. Når du bruger funktionen Engangsadgangskode, skal du generere en engangsadgangskode. Legitimationsoplysningerne cache-lagres ikke. Hver gang serveren anmoder om legitimationsoplysninger, bliver brugeren bedt om at indtaste legitimationsoplysninger.
- Brug Windows brugernavn og adgangskode. Denne funktion bruger Windows-brugernavn og -adgangskode som PEAP-legitimationsoplysninger til netværksgodkendelse.
- Anmod automatisk om brugernavn og adgangskode. Denne funktion bruger et separat PEAP-brugernavn og -adgangskode til netværksgodkendelse. Brugernavnet og adgangskoden skal registreres hos "backend"-serveren.
- Brug gemt brugernavn og adgangskode. Denne funktion bruger et gemt PEAP-brugernavn og -adgangskode til netværksgodkendelse. Denne funktion kræver ikke, at du angiver et PEAP-brugernavn og adgangskode hver gang. Godkendelsen sker automatisk efter behov ved hjælp at et gemt brugernavn og adgangskode (som er registreret hos "backend"-serveren).
Sådan konfigurerer du gemt brugernavn og adgangskode:
- Indtast det gemte brugernavn og domæne i feltet Brugernavn, op til 256 tegn. Brug et af følgende formater:
> Domæne-kvalificeret brugernavn (domæne\bruger)
> UPN-format (bruger@domæne)
- Indtast adgangskoden i feltet Adgangskode, op til 256 tegn.
- Indtast adgangskoden igen i feltet Bekræft adgangskode.
- Vælg fanen Tilslutning for at konfigurere, eller klik på OK for at gemme dine indstillinger og lukke dialogboksen Egenskaber for PEAP.
Konfigurer tilslutningen
Brug fanen Tilslutning til at konfigurere de indstillinger, som styrer oprettelse af forbindelsen.
- Vælg fanen Tilslutning.
- Marker feltet Brug anonym ydre identitet, hvis du vil aktivere fortrolighedsbeskyttelse af identitet.
- Indtast en ydre identitet i feltet. Denne identitet bruges som ydre identitet som svar på EAP-identitetsanmodning. Standardværdien er "anonym". Kontakt administratoren, hvis denne værdi skal ændres. (Du kan indtaste op til 256 tegn).
- Hvis du bruger et godkendt servercertifikat til at etablere tunnelen, skal du markere feltet Valider servercertifikat .
- Hvis du vil indtaste et ekstra servernavn, som skal matche det servercertifikat, som præsenteres af serveren, skal du markere feltet Tilslut kun til disse servere og indtaste servernavnet i feltet. Du kan angive flere servernavne adskilt med et semikolon.
BEMÆRK: PEAP tillader kun tilslutningen at fortsætte, hvis Fælles navn og Alternativt navn i servercertifikatet matcher et vilkårligt af de angivne servernavne.
- Hvis du vil vælge et rod-CA-certifikat, som du kan stole på, og som bruges til at validere servercertifikatet, skal du markere det certifikat, som du kan stole på, eller certifikater i feltet Rodcertifikatmyndigheder, som du stoler på (CA).
BEMÆRK: Kun CA-certifikater, som du kan stole på, og som er installeret på værtssystemet, vises i rullelisten. Dobbeltklik på et rod-CA-certifikat, som du kan stole på, for at få vist certifikatoplysningerne.
- Når du markerer feltet Anmod ikke brugeren om at godkende nye servere eller certifikatmyndigheder, som du kan stole på, angiver du, at hvis servernavnet ikke matcher, eller hvis servercertifikatet ikke er signeret af en af de valgte CA'er, som du kan stole på, anmodes brugeren ikke om at godkende tilslutningen. I stedet mislykkes godkendelsen.
- Marker Aktiver hurtig genoprettelse af forbindelsen for at tillade hurtig tilslutning.
- Klik på OK for at gemme dine indstillinger og lukke dialogboksen PEAP-egenskaber.
Opsæt en tilslutning med EAP-FAST-netværksgodkendelse
EAP-FAST er en offentligt tilgængelig EAP-type, der er udviklet af Cisco Systems. Der er flere tilgængelige EAP-protokoller til udsendelse på både kabelførte og trådløse netværk. De mest almindelige EAP-protokoller er Cisco LEAP, PEAP og EAP-TLS. Ud over disse protokoller har Cisco udviklet og implementeret EAP-FAST-protokollen som en standardiseret EAP-protokol, der er tilgængelig for distribution via kabelførte og trådløse LAN-netværk. Hovedfunktionerne i EAP-FAST er:
- Sikker gensidig godkendelse inden for TLS-tunnelkryptering for at forhindre angreb på mapper
- TLS-tunnelkryptering og kryptografisk binding for at forhindre MITM-angreb. letvægt til nem distribution (ingen krav om certifikater eller PKI)
- Identitetsbeskyttelse
- Hurtig genoprettelse af forbindelse
- Beskyttelse og fleksibilitet til understøttelse af populære brugerdatabaser gennem forskellige indre metoder
- Effektivitet og funktioner til reduktion af serverens ressourceforbrug
Denne implementering af EAP-FAST understøtter også:
- Single-signon-support, integreret med Windows Vista* og Windows* 7 log-in-processen og EAPHost-rammeværk.
- Forældelse af adgangskode (understøttelse af serverbaseret udløb af adgangskode)
- Hovedfunktioner i Cisco Unified Wireless LAN, såsom hurtig sikker roaming, CCKM og lokal RADIUS-godkendelse
- Understøttelse af Cisco NAC og Microsoft NAP til tilstandsvalidering
Opsæt EAP-FAST-godkendelse
- I vinduet Egenskaber for trådløst netværk, fanen Sikkerhed, under Sikkerhedstype skal du vælge WPA-Koncern, WPA2-Koncern, 802.1x eller Intel-CCKM-Koncern.
- Under Krypteringstype skal du vælge den ønskede kryptering.
- Vælg EAP-FAST under Vælg en metode til netværksgodkendelse.
- Klik på Indstillinger.
Konfigurer brugerlegitimationsoplysninger

- Vælg fanen Brugerlegitimationsoplysninger. Vælg en af følgende muligheder for at konfigurere brugernavn og adgangskode:
- Brug certifikat på denne computer. Certifikatet er allerede udstedt af certifikatmyndigheden og er specifik for denne bruger.
- Brug engangsadgangskode. Denne indstilling anmoder brugeren om en engangsadgangskode som EAP-FAST-brugerlegitimationsoplysninger til netværksgodkendelse. Når du bruger funktionen Engangsadgangskode, skal du generere en engangsadgangskode. Legitimationsoplysningerne cache-lagres ikke. Hver gang serveren anmoder om legitimationsoplysninger, bliver brugeren bedt om at indtaste legitimationsoplysninger.
- Brug Windows brugernavn og adgangskode. Denne funktion bruger Windows-brugernavn og -adgangskode som EAP-FAST-legitimationsoplysninger til netværksgodkendelse.
- Anmod automatisk om brugernavn og adgangskode. Denne funktion bruger et separat EAP-FAST-brugernavn og -adgangskode til netværksgodkendelse. Brugernavnet og adgangskoden skal registreres hos "backend"-serveren.
- Brug gemt brugernavn og adgangskode. Denne funktion bruger et gemt EAP-FAST-brugernavn og -adgangskode til netværksgodkendelse. Denne funktion kræver ikke, at du angiver et EAP-FAST-brugernavn og adgangskode hver gang. Godkendelsen sker automatisk efter behov ved hjælp at et gemt brugernavn og adgangskode (som er registreret hos "backend"-serveren).
Sådan konfigurerer du gemt brugernavn og adgangskode:
- Indtast det gemte brugernavn og domæne i feltet Brugernavn, op til 256 tegn. Brug et af følgende formater:
> Domæne-kvalificeret brugernavn (domæne\bruger)
> UPN-format (bruger@domæne)
- Indtast adgangskoden i feltet Adgangskode, op til 256 tegn.
- Indtast adgangskoden igen i feltet Bekræft adgangskode.
- Vælg fanen Tilslutning for at konfigurere, eller klik på OK for at gemme dine indstillinger og lukke dialogboksen Egenskaber for EAP-FAST.
Konfigurer tilslutningsindstillingerne
Brug fanen Tilslutning til at konfigurere de indstillinger, som styrer oprettelse af forbindelsen.
- På fanen Tilslutning skal du markere feltet Brug anonym ydre identitet, hvis du vil aktivere fortrolighedsbeskyttelse af identitet.
- Indtast en ydre identitet i feltet. Denne identitet bruges som ydre identitet som svar på EAP-identitetsanmodning. Standardværdien er "anonym". Kontakt administratoren, hvis denne værdi skal ændres. (Op til 256 tegn).
- Hvis du bruger en PAC for at etablere en tunnel, skal du markere feltet Brug Protected Access Credential (PAC). Hvis du ikke markerer dette felt, fungerer EAP-FAST som PEAP og bruger kun det godkendte servercertifikat til et oprette tunnelen hver gang.
- Hvis du vil aktivere automatisk hentning af en PAC under EAP-FAST-godkendelse, skal du markere feltet Tillad automatisk PAC-tildeling.
- (Valgfri) Vælg en PAC-autoritet i rullelisten PAC-autoritet, eller klik på Importer... for at importere en *.pac-fil.
BEMÆRK: Rullelisten indeholder navnene på alle de PAC-myndigheder, hvorfra du tidligere har fået tildelt en tunnel-PAC. Hvis du ikke har fået tildelt en PAC, er "ingen" den eneste mulighed. Du kan også vælge "ingen" for at tvinge værtssystemet til at anmode om tildeling af en PAC.
- Hvis du bruger et godkendt servercertifikat til at etablere tunnelen, skal du markere feltet Valider servercertifikat .
BEMÆRK: Du kan markere både feltet Brug Protected Access Credential (PAC) og feltet Valider servercertifikat til at etablere en tunnel. I dette tilfælde forsøger EAP-FAST altid at bruge PAC'en først. EAP-FAST vender tilbage til brug af servercertifikatet, hvis PAC'en mangler eller afvises af serveren.
- Hvis du vil indtaste et ekstra servernavn, som skal matche det servercertifikat, som præsenteres af serveren, skal du markere feltet Tilslut kun til disse servere og indtaste servernavnet i feltet. Separer flere servernavne med et semikolon.
BEMÆRK: EAP-FAST tillader kun tilslutningen at fortsætte, hvis emnefeltet i servercertifikatet matcher et vilkårligt af de angivne servernavne.
- Vælg et rod-CA-certifikat, som du kan stole på, og som bruges til at validere servercertifikatet i listen Rodcertifikatmyndigheder, som du stoler på (CA). Kun CA-certifikater, som du kan stole på, og som er installeret på værtssystemet, vises i rullelisten. Du kan vælge mere end en rod-CA, som du kan stole på. Dobbeltklik på et rod-CA-certifikat, som du kan stole på, for at få vist certifikatoplysningerne.
- Når du markerer feltet Anmod ikke brugeren om at godkende nye servere eller certifikatmyndigheder, som du kan stole på, angiver du, at hvis servernavnet ikke matcher, eller hvis servercertifikatet ikke er signeret af en af de valgte CA'er, som du kan stole på, anmodes brugeren ikke om at godkende tilslutningen. I stedet mislykkes godkendelsen.
- Vælg en anden fane for at konfigurere, eller klik på OK for at gemme dine indstillinger og lukke dialogboksen Egenskaber for EAP-FAST.
Konfigurer godkendelsesindstillinger
Brug fanen Godkendelse til at konfigurere godkendelsesindstillingerne.
- Vælg på fanen Godkendelse godkendelsesmetoden fra rullelisten. Marker en af følgende metoder:
- Enhver metode (standardindstilling) – denne funktion gør det muligt for EAP-FAST at vælge enhver af de understøttede metoder, som EAP-serveren anmoder om.
- EAP-GTC - denne funktion er den eneste tilgængelige, hvis du har valgt funktionen Brug engangsadgangskode på fanen Brugerlegitimationsoplysninger.
- EAP-MS-CHAP-V2
- EAP-TLS - denne funktion er den eneste tilgængelige, hvis du har valgt funktionen Brug et certifikat på denne computer på fanen Brugerlegitimationsoplysninger.
BEMÆRK: Knappen Konfigurer er ikke aktiveret i version 2.0 af EAP-FAST-modulet.
- Marker Aktiver hurtig genoprettelse af forbindelsen for at tillade genoptagelse af en session.
- Marker Aktiver validering af stilling for at tillade forespørgsel på værtsmaskinens sundhedstilstand.
- Vælg en anden fane for at konfigurere, eller klik på OK for at gemme dine indstillinger og lukke dialogboksen Egenskaber for EAP-FAST.
Opsæt en forbindelse med EAP-SIM-netværksgodkendelse
EAP-SIM anvender en dynamisk, sessionsbaseret WEP-nøgle (der er udledt af klientadapteren og RADIUS-serveren) til kryptering af data. EAP-SIM kræver, at du indtaster en brugerverificeringskode, eller en PIN-kode, for kommunikation med Subscriber Identity Module (SIM)-kortet. Et SIM-kort er et specielt smart-kort, der bruges af GSM-baserede (Global System for Mobile Communications) digitale mobilnetværk.
BEMÆRK: Ved oprettelse af en administratorprofil til Windows Vista* eller Windows* 7, der anvender EAP-SIM-godkendelse, er Delt ikke tilgængelig som en netværksgodkendelsestype. Hertil kommer, at Vedvarende administratorprofiler ikke kan oprettes med EAP-SIM-godkendelse.
BEMÆRK: Ved oprettelse af en administratorprofil til Windows Vista* eller Windows* 7 er datakrypteringen fast indstillet til WEP, hvis Netværksgodkendelse er indstillet til Åben.
Opsæt EAP-SIM-godkendelse
- I vinduet Egenskaber for trådløst netværk, fanen Sikkerhed, under Sikkerhedstype skal du vælge WPA-Koncern, WPA2-Koncern, 802.1x eller Intel-CCKM-Koncern.
- Under Krypteringstype skal du vælge den ønskede kryptering.
- Vælg EAP-SIM under Vælg en metode til netværksgodkendelse.
- Klik på Indstillinger.
- På panelet nedenfor skal du vælge Angiv brugernavn (identitet), og klikke på brugernavnet.
- Brugernavn Indtast det brugernavn, der er knyttet til SIM-kortet.
- Klik på OK.
Opsæt en forbindelse med EAP-TTLS-netværksgodkendelse
TTLS-godkendelse: Disse indstillinger definerer protokollen og de legitimationsoplysninger, der bruges til at godkende en bruger. Klienten bruger EAP-TLS til at validere serveren og oprette en TLS-krypteret kanal mellem klient og server. Klienten kan anvende en anden godkendelsesprotokol. Normalt anvender adgangskodebaserede protokoller denne krypterede kanal for at muliggøre servervalidering. Challenge- og svarpakker sendes over en ikke-udsat TLS-krypteret kanal. TTLS-implementeringer understøtter i dag alle de metoder, der er defineret af EAP.
Godkendelsesprotokoller
- PAP: Password Authentication Protocol er en tovejs-handshakeprotokol, designet til brug med PPP. Password Authentication Protocol er en almindelig tekst-adgangskode, der anvendes på ældre SLIP-systemer. Den er ikke sikker.
- CHAP: Challenge Handshake Authentication Protocol er en trevejs-handshakeprotokol, der betragtes som værende mere sikker end PAP-godkendelsesprotokollen.
- MS-CHAP (MD4): Anvender en Microsoft-version af RSA Message Digest 4 challenge-and-reply protokollen. Denne fungerer kun på Microsoft-systemer og muliggør datakryptering. Valg af denne godkendelsesmetode krypterer alle data.
- MS-CHAP-V2: Introducerer yderligere en funktion, der ikke findes i MS-CHAP-V1 eller standard-CHAP-godkendelse, funktionen til ændring af adgangskode. Denne funktion giver klienten mulighed for at ændre kontoadgangskode, hvis RADIUS-serveren rapporterer, at adgangskoden er udløbet.
Opsæt EAP-TTLS-netværksgodkendelse
Trin 1 af 2: TTLS-bruger
Sådan opsættes en forbindelse med EAP-TTLS-godkendelse:
- I vinduet Egenskaber for trådløst netværk, fanen Sikkerhed, under Sikkerhedstype skal du vælge WPA-Koncern, WPA2-Koncern, 802.1x eller Intel-CCKM-Koncern.
- Under Krypterings type skal du vælge den ønskede kryptering.
- Under Vælg en metode til netværksgodkendelse: Vælg EAP-TTLS.
- Klik på Indstillinger.
- Godkendelsesprotokol: Denne parameter angiver godkendelsesprotokollen, der kører over TTLS-tunnelen. Protokollerne er: PAP (Standard), CHAP, MS-CHAP og MS-CHAP-V2. Se Oversigt over sikkerhed for yderligere oplysninger.
- Brugerlegitimationsoplysninger: Vælg enten Spørg, hver gang jeg tilslutter eller Brug følgende eller Brug Windows logon.
Navn |
Beskrivelse |
Spørg, hver gang jeg tilslutter |
Vælg, for at bede om brugernavnet og adgangskoden, inden du tilslutter til det trådløse netværk. Brugernavnet og adgangskoden skal først angives i godkendelsesserveren af administratoren. |
Brug følgende |
Brugernavnet og adgangskoden er sikkert (krypteret) gemt i profilen.
-
Brugernavn: Dette brugernavn skal stemme overens med det brugernavn, der er defineret på godkendelsesserveren.
-
Domæne: Navnet på domænet på godkendelsesserveren. Servernavnet identificerer et domæne eller et af dets underdomæner, (f.eks. zeelans.com, hvor serveren er blueberry.zeelans.com). Kontakt administratoren for at hente domænenavnet.
-
Adgangskode: Denne adgangskode skal matche den adgangskode, der er defineret på godkendelsesserveren. De indtastede adgangskodetegn vises som stjerner.
-
Bekræft adgangskode: Indtast adgangskoden igen.
|
Brug Windows logon |
Bruger blot Windows logon-parametrene og anmoder ikke brugeren om yderligere oplysninger. |
- Roaming-identitet: Hvis feltet Roaming-identitet er ryddet, bliver %domæne%\%brugernavn% standardidentitet.
Ved brug af 802.1x MS RADIUS som godkendelsesserver, godkender serveren enheden ved hjælp af roaming-identitet-brugernavnet fra WiFi tilslutningsværktøjet og ignorerer Godkendelsesprotokol MS-CHAP-V2-brugernavnet. Denne funktion er den 802.1x-identitet, der følger med godkenderen. Microsoft IAS RADIUS accepterer kun et gyldigt brugernavn (dotNet-bruger) for EAP-klienter. Når 802.1x MS RADIUS anvendes, skal du indtaste et gyldigt brugernavn. Ved alle andre servere er dette valgfrit. Det anbefales derfor, at det ønskede navn (f.eks. anonym@myrealm) bruges i stedet for en sand identitet.
Trin 2 af 2: TTLS-server
-
Marker en af følgende muligheder:
Navn |
Beskrivelse |
Kontroller servercertifikat |
Udsteder af legitimationsoplysninger: Det servercertifikat, der modtages under TTLS-meddelelsesudvekslingen, skal være udstedt af denne certifikatmyndighed (CA). Mellemliggende certifikatmyndigheder og rodmyndigheder, hvis certifikater findes i systemet, og som du stoler på, kan vælges. Hvis du vælger Alle certifikatmyndigheder, som du stoler på, kan du vælge mellem alle. |
Angiv server- eller certifikatnavn |
Servernavn/Certifikatnavn: Indtast servernavnet.
Servernavnet eller et domæne, hvortil serveren hører, afhængigt af, hvilken af valgmulighederne neden for, der er markeret:
-
Servernavnet skal matche helt præcist: Når det er valgt, skal servernavnet nøjagtigt svare til det servernavn, der findes på certifikatet. Servernavnet skal indeholde det komplette domænenavn (f.eks. Servernavn.Domænenavn). Servernavnet kan indeholde alle tegn, heriblandt specialtegn.
-
Domænenavnet skal ende med det angivne navn: Når det vælges, identificerer servernavn et domæne, og certifikatet skal have et servernavn, der hører til dette domæne eller til et af dets underdomæner (f.eks. zeelans.com, hvor serveren er blueberry.zeelans.com). Disse parametre skal hentes hos administratoren.
|
- Klik på OK for at gemme indstillingerne og lukke siden.
Opsæt en forbindelse med EAP-AKA-netværksgodkendelse
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) er en EAP-mekanisme til godkendelse og distribution af sessionsnøgle ved hjælp af Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM). USIM-kortet er et specielt smart-kort, der anvendes i forbindelse med mobiltelefonnetværk til validering af en given bruger i netværket.
Opsæt en EAP-AKA-godkendelse
- I vinduet Egenskaber for trådløst netværk, fanen Sikkerhed, under Sikkerhedstype skal du vælge WPA-Koncern, WPA2-Koncern, 802.1x eller Intel-CCKM-Koncern.
- Under Krypteringstype skal du vælge den ønskede kryptering.
- Under Vælg en metode til netværksgodkendelse: Vælg EAP-AKA.
- Klik på Indstillinger.
- Angiv brugernavn (identitet): Klik, for at angive brugernavnet.
- Brugernavn: Angiv det brugernavn, der er knyttet til USIM-kortet.
- Klik på OK.