Tilbage til indhold

Opret profiler for Windows*


Dette afsnit beskriver hvordan man opretter profiler for Windows* XP, Windows Vista* og Windows* 7.

Et infrastruktur-netværk består af et eller flere adgangspunkter og en eller flere computere med WiFi adaptere installeret. Hvert adgangspunkt skal have en trådbåren forbindelse til et trådløst netværk. I dette afsnit beskrives oprettelse af forskellige profiler.

BEMÆRK: Der er flere begrænsninger for single-signon-profiler oprettet for Windows Vista*- og Windows* 7-klienter. Se Single-signon overvejelser for Windows Vista* og Windows* 7.


Oprettelse af en profil uden godkendelse eller datakryptering

FORSIGTIG: Netværk, der ikke bruger godkendelse eller kryptering er meget sårbare overfor uautoriserede brugeres adgang.

Sådan oprettes en profil til en trådløs netværksforbindelse uden kryptering:

  1. Åbn Administratorværktøjet.
  2. Klik, på listen/fanen Profiler, på Tilføj at åbne Opret trådløs profil - Generelle indstillinger.
  3. Profilnavn: Indtast et beskrivende profilnavn.
  4. WiFi-netværksnavn (SSID): Indtast netværks-ID.
  5. Driftstilstand: Klik på Netværk (Infrastruktur). (Denne parameter indstilles fra Infrastruktur kun, hvis du bruger Administratorværktøjet).
  6. Administratorprofiltype: Vælg Vedvarende eller Tilslut før logon/Fællestilslutning.
  7. Klik på Næste for at åbne Sikkerhedsindstillinger.
  8. Klik på Koncernsikkerhed.
  9. Netværksgodkendelse: Åben (valgt).

Åben godkendelse giver en trådløs enhed adgang til netværket uden 802.11-godkendelse. Hvis der ikke er aktiveret en kryptering på netværket, kan enhver trådløs enhed med korrekte netværksnavn (SSID) knyttes til adgangspunktet og få adgang til netværket.

  1. Datakryptering: Ingen er standard.
  2. Klik på OK. Profilen føjes til listen Profiler og tilslutter til det trådløse netværk.

Oprettelse af en profil med delt netværksgodkendelse

Ved hjælp af Delt nøgle-godkendelse antages det, at hver trådløs station har modtaget en hemmelig delt nøgle over en sikret kanal, der er uafhængig af det trådløse 802.11-netværk. Delt nøglegodkendelse kræver, at klienten konfigurerer en statisk WEP- eller CKIP-nøgle. Klientadgangen gives kun, hvis den gik gennem en challenge-baseret godkendelse. CKIP yder stærkere datakryptering end WEP, men ikke alle operativsystemer og adgangspunkter understøtter det.

BEMÆRK: Mens en delt nøgle ville synes at være et bedre valg for et højere sikkerhedsniveau, dannes der en kendt svaghed pga. klartekst-transmissionen af challenge-strengen til klienten. Hvis en bruger anvender et softwareværktøj til detektere challenge-strengen, kan den delte godkendelsesnøgle nemt dekompileres. Derfor er åben godkendelse (med datakryptering) rent faktisk mere sikker.

Sådan oprettes en profil med delt godkendelse:

  1. Åbn Administratorværktøjet.
  2. Klik, på listen/fanen Profiler, på Tilføj at åbne Opret trådløs profil - Generelle indstillinger.
  3. Profilnavn: Indtast et beskrivende profilnavn.
  4. WiFi-netværksnavn (SSID): Indtast netværks-ID.
  5. Driftstilstand: Klik på Netværk (Infrastruktur). (Denne parameter indstilles fra Infrastruktur kun, hvis du bruger Administratorværktøjet).
  6. Administratorprofiltype: Vælg Vedvarende eller Tilslut før logon/Fællestilslutning.
  7. Klik på Næste for at åbne Sikkerhedsindstillinger.
  8. Klik på Koncernsikkerhed.
  9. Netværksgodkendelse: Vælg Delt. Delt godkendelse fuldføres med en forudkonfigureret WEP-nøgle.
  10. Datakryptering: Vælg Ingen, WEP (64-bit eller 128-bit) eller CKIP (64-bit eller 128-bit).
  11. Aktiver 802.1X: Deaktiveret
  12. Krypteringsniveau: 64-bit eller 128-bit: Når du skifter mellem 64 bit- og 128 bit-kryptering, fjernes de forrige indstillinger, og der skal angives en ny adgangsnøgle.
  13. Nøgleindeks: Vælg 1, 2, 3 eller 4. Skift Nøgleindeks for at angive op til fire adgangskoder.
  14. Krypteringsnøgle (Wireless Security Password): Indtast adgangskoden til det trådløse netværk (krypteringsnøgle). Adgangskoden er den samme, som anvendes af det trådløse adgangspunkt eller routeren. Kontakt administratoren for at få denne adgangskode.

Oprettelse af en profil med WPA-Personlig eller WPA2-Personlig netværksgodkendelse

Wi-Fi-beskyttet adgang (WPA) er en sikkerhedsforbedring, der forøger databeskyttelsesniveauet og adgangskontrollen til et trådløst netværk betydeligt. WPA-Personal gennemtvinger nøgleudveksling og fungerer kun med dynamiske krypteringsnøgler. Hvis det trådløse adgangspunkt eller routeren understøtter WPA-Personlig eller WPA2-Personlig, skal du aktivere den i adgangspunktet og angive en lang stærk adgangskode. Til personlige eller hjemmenetværk uden en RADIUS eller AAA-server anvendes Wi-Fi Protected Access Personal.

BEMÆRK: WPA-Personlig og WPA2-Personlig kan bruges sammen.

Visse sikkerhedsløsninger understøttes muligvis ikke af din computers operativsystem og kan kræve ekstra software og/eller bestemt hardware såvel som understøttelse af trådløs LAN-infrastruktur. Henvend dig til din computerproducent for at høre mere.

Sådan tilføjes en profil med WPA-Personlig eller WPA2-Personlig netværksgodkendelse:

  1. Åbn Administratorværktøjet.
  2. Klik, på listen/fanen Profiler, på Tilføj at åbne Opret trådløs profil - Generelle indstillinger.
  3. Profilnavn: Indtast et beskrivende profilnavn.
  4. WiFi-netværksnavn (SSID): Indtast netværks-ID.
  5. Driftstilstand: Klik på Netværk (Infrastruktur). (Denne parameter indstilles fra Infrastruktur kun, hvis du bruger Administratorværktøjet).
  6. Administratorprofiltype: Vælg Vedvarende eller Tilslut før logon/Fællestilslutning.
  7. Klik på Næste for at åbne Sikkerhedsindstillinger.
  8. Klik på Koncernsikkerhed.
  9. Netværksgodkendelse: Vælg WPA-Personlig eller WPA2-Personlig. Se Oversigt over sikkerhed.
  10. Datakryptering: Vælg TKIP eller AES-CCMP .
  11. Adgangskode: Indtast en sætning med 8 til 63 tegn. Jo længere denne adgangskode er, jo mere sikkert er det trådløse netværk. Den samme adgangskode, du angav for adgangspunktet, skal bruges på denne computer og til alle andre trådløse enheder, der har adgang til det trådløse netværk.

Oprettelse af en profil med WPA-Koncern eller WPA2-Koncern netværksgodkendelse

WPA2-Koncern kræver en godkendelsesserver.

BEMÆRK: WPA-Koncern og WPA2-Koncern kan bruges på samme måde.

Sådan tilføjes en profil, der anvender WPA-Koncern- eller WPA2-Koncern-godkendelse:

  1. Hent et brugernavn og en adgangskode på RADIUS-serveren fra systemadministratoren.
  2. Visse godkendelsestyper kræver, at du henter og installerer et klientcertifikat. Se Oprettelse af en profil til TLS-godkendelse, eller spørg administratoren.
  3. Åbn Administratorværktøjet.
  4. Klik på Tilføj i listen Profiler for at åbne Opret WiFi-profil - Generelle indstillinger.
  5. Profilnavn: Indtast et beskrivende profilnavn.
  6. WiFi-netværksnavn (SSID): Indtast netværks-ID.
  7. Driftstilstand: Klik på Netværk (Infrastruktur). (Denne parameter indstilles fra Infrastruktur kun, hvis du bruger Administratorværktøjet).
  8. Administratorprofiltype: Vælg Vedvarende eller Tilslut før logon/Fællestilslutning.
  9. Klik på Næste for at åbne Sikkerhedsindstillinger.
  10. Klik på Koncernsikkerhed.
  11. Netværksgodkendelse: Vælg WPA-Koncern eller WPA2-Koncern.
  12. Datakryptering: Vælg TKIP eller AES-CCMP .
  13. Aktiver 802.1X: Valgt som standard.
  14. Godkendelsestype: Marker en af følgende: EAP-SIM, LEAP, TLS, TTLS, PEAP eller EAP-FAST.

Konfigurer netværksprofiler med 802.1x-godkendelsestyper


Oprettelse af en profil med WEP-datakryptering og EAP-SIM-netværksgodkendelse

EAP-SIM anvender en dynamisk, sessionsbaseret WEP-nøgle, der er udledt af klientadapteren og RADIUS-serveren, til kryptering af data. EAP-SIM kræver, at du indtaster en brugerverificeringskode, eller en PIN-kode, for kommunikation med Subscriber Identity Module (SIM)-kortet. Et SIM-kort er et specielt smart-kort, der bruges af GSM-baserede digitale mobilnetværk.

Profil-kortlægning

Denne profil vil blive eksporteret anderledes til klienter der anvender Windows* XP sammenlignet med klienter der anvender Windows Vista* og Windows* 7. Se EAP-SIM Profil-kortlægning for yderligere oplysninger.

Sådan tilføjer du en profil med EAP-SIM-godkendelse:

  1. Åbn Administratorværktøjet.
  2. Klik på Tilføj i listen Profiler for at åbne Opret WiFi-profil - Generelle indstillinger.
  3. Profilnavn: Indtast et profilnavn.
  4. WiFi-netværksnavn (SSID): Indtast netværks-ID.
  5. Driftstilstand: Klik på Netværk (Infrastruktur). (Denne parameter indstilles fra Infrastruktur kun, hvis du bruger Administratorværktøjet).
  6. Administratorprofiltype: Vælg Vedvarende eller Tilslut før logon/Fællestilslutning.
  7. Klik på Næste for at åbne Sikkerhedsindstillinger.
  8. Klik på Koncernsikkerhed.
  9. Netværksgodkendelse: Vælg Åben (Anbefales).
  10. Datakryptering: Vælg WEP.
  11. Klik på Aktiver 802.1x.
  12. Godkendelsestype: Vælg EAP-SIM.

EAP-SIM-godkendelse kan anvendes med:

EAP-SIM-bruger (valgfrit)

  1. Klik på Angiv brugernavn (identitet) :
  2. Ved Brugernavn: Det brugernavn, der er knyttet til SIM-kortet.
  3. Klik på OK.

Oprettelse af en Windows* XP profil med EAP-AKA-netværksgodkendelse

EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) er en EAP-mekanisme til godkendelse og distribution af sessionsnøgle ved hjælp af Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM). USIM-kortet er et specielt smart-kort, der anvendes i forbindelse med mobiltelefonnetværk til validering af en given bruger i netværket.

EAP-AKA-godkendelse kan anvendes med:

Profil-kortlægning

Denne profil vil blive eksporteret anderledes til klienter der anvender Windows* XP sammenlignet med klienter der anvender Windows Vista* og Windows* 7. Se EAP-AKA Profil-kortlægning for yderligere oplysninger.

Sådan tilføjer du en profil med EAP-AKA-godkendelse:

  1. Åbn Administratorværktøjet.
  2. Klik på Tilføj i listen Profiler for at åbne Opret WiFi-profil - Generelle indstillinger.
  3. Profilnavn: Indtast et profilnavn.
  4. WiFi-netværksnavn (SSID): Indtast netværks-ID.
  5. Driftstilstand: Klik på Netværk (Infrastruktur). (Denne parameter indstilles fra Infrastruktur kun, hvis du bruger Administratorværktøjet).
  6. Administratorprofiltype: Vælg Vedvarende eller Tilslut før logon/Fællestilslutning.
  7. Klik på Næste for at åbne Sikkerhedsindstillinger.
  8. Klik på Koncernsikkerhed.
  9. Netværksgodkendelse: Vælg Åben, WPA-Koncern eller WPA2-Koncern.
  10. Datakryptering: Vælg WEP eller CKIP til Åben godkendelse, TKIP eller AES-CCMP til Koncern-godkendelse.
  11. Klik på Aktiver 802.1x, hvis den ikke allerede er valgt.
  12. Godkendelsestype: Vælg EAP-AKA.

EAP-AKA-bruger (valgfrit)

  1. Klik på Angiv brugernavn (identitet) :
  2. Ved Brugernavn: Angiv det brugernavn, der er knyttet til USIM-kortet.
  3. Klik på OK.

Oprettelse af en profil med TLS netværksgodkendelse

Disse indstillinger definerer protokollen og de legitimationsoplysninger, der bruges til at godkende en bruger. Transport Layer Security (TLS)-godkendelse er en tovejs-godkendelsesmetode, der udelukkende bruger digitale certifikater til at kontrollere identiteten af en klient og en server.

Profil-kortlægning

Denne profil vil blive eksporteret anderledes til klienter der anvender Windows* XP sammenlignet med klienter der anvender Windows Vista* og Windows* 7. Se TLS Profil-kortlægning for yderligere oplysninger.

Sådan oprettes en profil med TLS-godkendelse

  1. Åbn Administratorværktøjet.
  2. Klik på Tilføj i listen Profiler for at åbne Opret WiFi-profil - Generelle indstillinger.
  3. Profilnavn: Indtast et beskrivende profilnavn.
  4. WiFi-netværksnavn (SSID): Indtast netværks-ID.
  5. Driftstilstand: Klik på Netværk (Infrastruktur). (Denne parameter indstilles fra Infrastruktur kun, hvis du bruger Administratorværktøjet).
  6. Administratorprofiltype: Vælg Vedvarende eller Tilslut før logon/Fællestilslutning.
  7. Klik på Næste for at åbne Sikkerhedsindstillinger.
  8. Klik på Koncernsikkerhed.
  9. Netværksgodkendelse: Vælg WPA-Koncern eller WPA2-Koncern (anbefales).
  10. Datakryptering: Vælg AES-CCMP (Anbefales).
  11. Aktiver 802.1X: Valgt som standard.
  12. Godkendelsestype: Vælg TLSfor at bruge den med denne forbindelse.

Trin 1 af 2: TLS-bruger

  1. Anskaf og installer et klientcertifikat. Se Oprettelse af en profil til TLS-godkendelse, eller spørg systemadministratoren.
  2. Vælg et af følgende, for at få et certifikat: Brug mit Smartcard, Anvend det certifikat, der er udstedt til denne computer, eller Anvend et brugercertifikat på denne computer.
  3. Klik på Næste for at åbne TLS-serverindstillingerne.

Trin 2 af 2: TLS-server

  1. Vælg en af følgende metoder til at hente brugerlegitimation: Kontroller servercertifikat eller Angiv server- eller certifikatnavn.
  2. Klik på OK. Profilen føjes til listen Profiler.
  3. Klik på den nye profil nederst på listen Profiler. Brug op- og nedpilene for at ændre prioriteten af den nye profil.
  4. Klik på knappen Tilslut for at tilslutte til det valgte trådløse netværk.
  5. Klik på OK for at lukke værktøjet.

Oprettelse af en profil med TTLS netværksgodkendelse

TTLS-godkendelse: Disse indstillinger definerer protokollen og de legitimationsoplysninger, der bruges til at godkende en bruger. Klienten bruger EAP-TLS til at validere serveren og oprette en TLS-krypteret kanal mellem klient og server. Klienten kan anvende en anden godkendelsesprotokol. Normalt anvender adgangskodebaserede protokoller challenge over en ikke-udsat TLS-krypteret kanal.

Profil-kortlægning

Denne profil vil blive eksporteret anderledes til klienter der anvender Windows* XP sammenlignet med klienter der anvender Windows Vista* og Windows* 7. Se TTLS Profil-kortlægning for yderligere oplysninger.

Sådan oprettes en profil med TTLS-godkendelse

  1. Åbn Administratorværktøjet.
  2. Klik på Tilføj i listen Profiler for at åbne Opret WiFi-profil - Generelle indstillinger.
  3. Profilnavn: Indtast et beskrivende profilnavn.
  4. WiFi-netværksnavn (SSID): Indtast netværks-ID.
  5. Driftstilstand: Klik på Netværk (Infrastruktur). (Denne parameter indstilles fra Infrastruktur kun, hvis du bruger Administratorværktøjet).
  6. Administratorprofiltype: Vælg Vedvarende eller Tilslut før logon/Fællestilslutning.
  7. Klik på Næste for at åbne Sikkerhedsindstillinger.
  8. Klik på Koncernsikkerhed.
  9. Netværksgodkendelse: Vælg WPA-Koncern eller WPA2-Koncern (anbefales).
  10. Datakryptering: Vælg TKIP eller AES-CCMP (Anbefales).
  11. Aktiver 802.1X: Valgt som standard.
  12. Godkendelsestype: Vælg TTLS for at bruge den med denne forbindelse.

Trin 1 af 2: TTLS-bruger

  1. Godkendelsesprotokol: Denne parameter angiver godkendelsesprotokollen, der kører over TTLS-tunnelen. Protokollerne er: PAP (Standard), CHAP, MS-CHAP og MS-CHAP-V2. Se Oversigt over sikkerhed for yderligere oplysninger.
  2. Brugerlegitimationsoplysninger: Ved PAP, CHAP, MS-CHAP og MS-CHAP-V2-protokoller skal du vælge en af disse godkendelsesmetoder: Brug Windows logon, Spørg, hver gang jeg tilslutter eller Brug følgende.
  3. Roaming-identitet: En Roaming-identitet kan være indsat i dette felt, eller du kan bruge %domæne%\%brugernavn% som standardformat til indsætning af en roaming-identitet.

Ved brug af 802.1x Microsoft IAS RADIUS server som godkendelsesserver godkender serveren enheden ved hjælp af Roaming-identitet fra Intel PROSet/Wireless WiFi softwaren og ignorerer Authentication Protocol MS-CHAP-V2-brugernavnet. Microsoft IAS RADIUS accepterer kun et gyldigt brugernavn (dotNet-bruger) for Roaming-identitet. Ved alle andre godkendelsesservere er Roaming-identitet valgfri. Det anbefales derfor, at det ønskede navn (f.eks. anonym@myrealm) bruges for Roaming-identitet i stedet for en sand identitet.

  1. Klik på Næste for at få adgang til TTLS-serverindstillingerne.

Trin 2 af 2: TTLS-server

  1. Vælg en af følgende metoder til at hente brugerlegitimation: Kontroller servercertifikat eller Angiv server- eller certifikatnavn.
  2. Klik på OK for at gemme indstillingerne og lukke siden.

Oprettelse af en profil med PEAP netværksgodkendelse

PEAP-godkendelse: PEAP-indstillinger kræves til godkendelse af klienten til godkendelsesserveren. Klienten bruger EAP-TLS til at validere serveren og oprette en TLS-krypteret kanal mellem klient og server. Klienten kan bruge en anden EAP-mekanisme, f.eks. Microsoft Challenge Authentication Protocol (MS-CHAP) Version 2, i stedet for denne krypterede kanal for at aktivere servervalidering. Challenge- og svarpakker sendes over en ikke-udsat TLS-krypteret kanal. Følgende eksempel beskriver, hvordan man bruger WPA med AES-CCMP eller TKIP-kryptering med PEAP-godkendelse.

Profil-kortlægning

Denne profil vil blive eksporteret anderledes til klienter der anvender Windows* XP sammenlignet med klienter der anvender Windows Vista* og Windows* 7. Se PEAP Profil-kortlægning for yderligere oplysninger.

Sådan oprettes en profil med PEAP-godkendelse

Anskaf og installer et klientcertifikat. Se Oprettelse af en Windows* XP profil til TLS-godkendelse, eller spørg administratoren.

  1. Åbn Administratorværktøjet.
  2. Klik på Tilføj i listen Profiler for at åbne Opret WiFi-profil - Generelle indstillinger.
  3. Profilnavn: Indtast et beskrivende profilnavn.
  4. WiFi-netværksnavn (SSID): Indtast netværks-ID.
  5. Driftstilstand: Klik på Netværk (Infrastruktur). (Denne parameter indstilles fra Infrastruktur kun, hvis du bruger Administratorværktøjet).
  6. Administratorprofiltype: Vælg Vedvarende eller Tilslut før logon/Fællestilslutning.
  7. Klik på Næste for at åbne Sikkerhedsindstillinger.
  8. Klik på Koncernsikkerhed.
  9. Netværksgodkendelse: Vælg WPA-Koncern eller WPA2-Koncern (anbefales).
  10. Datakryptering: Marker en af følgende: AES-CCMP anbefales.
  11. Aktiver 802.1X: Valgt som standard.
  12. Godkendelsestype: Vælg PEAP for at bruge den med denne forbindelse.

Trin 1 af 2: PEAP-bruger

PEAP afhænger af Transport Layer Security (TLS) for at tillade ikke-krypterede godkendelsestyper som EAP-Generic Token Card (GTC) og understøttelse af engangsadgangskode (OTP).

  1. Godkendelsesprotokol: Vælg enten GTC, MS-CHAP-V2 (Standard) eller TLS. Se Godkendelsesprotokoller.
  2. Brugerlegitimationsoplysninger: Der findes følgende muligheder for brugerlegitimationsoplysninger: De tilgængelige brugerlegitimationsoplysninger svarer måske ikke til dem angivet her, afhængigt af om du opretter en profil på Window* XP, eller om du opretter en IT-administratorprofil for Windows XP, Windows Vista eller Windows* 7. Der findes yderligere oplysninger senere i dette afsnit.
  3. Roaming-identitet: En Roaming-identitet kan være indsat i dette felt, eller du kan bruge %domæne%\%brugernavn% som standardformat til indsætning af en roaming-identitet.

Ved brug af 802.1x Microsoft IAS RADIUS server som godkendelsesserver godkender serveren enheden ved hjælp af Roaming-identitet fra Intel PROSet/Wireless WiFi softwaren og ignorerer Authentication Protocol MS-CHAP-V2-brugernavnet. Microsoft IAS RADIUS accepterer kun et gyldigt brugernavn (dotNet-bruger) for Roaming-identitet. Ved alle andre godkendelsesservere er Roaming-identitet valgfri. Det anbefales derfor, at det ønskede navn (f.eks. anonym@myrealm) bruges for Roaming-identitet i stedet for en sand identitet.

Konfiguration af Roaming Identity til understøttelse af flere brugere:

Hvis du bruger en Tilslut før logon/Fælles profil, som kræver, at roaming-identiteten baseres på Windows logonlegitimationsoplysninger, kan den, der opretter profilen, tilføje en roaming-identitet, som anvender %brugernavn% og %domæne%. Roaming-identiteten analyseres, og de relevante logon-oplysninger erstatter adgangskoderne. Dette giver maksimal fleksibilitet ved konfiguration af roaming-identiteten, samtidig med at brugere kan dele profilen.

Se din godkendelsesservers brugervejledning om, hvordan du formaterer en passende roaming-identitet. Mulige formater er:

%brugernavn%\%brugernavn%
%brugernavn%@%domæne%
%brugernavn%@%domæne%.com
%brugernavn%@mynetwork.com

Hvis feltet Roaming-identitet er tomt, bliver %domæne%\%brugernavn% standard.

Noter om legitimationsoplysningerne: Dette brugernavn og domæne skal stemme overens med det brugernavn, der er defineret på godkendelsesserveren af administratoren forud for klientgodkendelsen. Brugernavnet kender forskel på store og små bogstaver. Dette navn angiver den angivne identitet for godkendelsen af godkendelsesprotokollen, der kører over TLS-tunnelen. Denne brugers identitet transmitteres kun sikret til serveren, når en krypteret kanal er verificeret og oprettet.

Godkendelsesprotokoller

Denne parameter angiver godkendelsesprotokollen, der kan fungere over TTLS-tunnelen. Herefter findes oplysninger om, hvordan du konfigurerer en profil, der anvender PEAP-godkendelse med GTC, MS-CHAP-V2 (Standard) eller TLS godkendelsesprotokoller. Brugerlegitimationsoplysningerne angivet er eksempler.

Generic Token-kort (GTC)

Sådan konfigurerer du en engangsadgangskode:

  1. Godkendelsesprotokol: Vælg GTC (Generic Token Card).
  2. Brugerlegitimationsoplysninger: Vælg Spørg, hver gang jeg tilslutter. (Denne valgmulighed er kun tilgængelig hvis du opretter en personlig profil på en Windows* XP-maskine. Ikke tilgængelig for IT-profiler).
  3. Anmod ved tilslutning om: Marker en af følgende:
Navn Beskrivelse
Statisk adgangskode Ved tilslutning skal du angive brugerlegitimationsoplysningerne.
Engangsadgangskode (OTP) Hent adgangskoden fra en hardware token-enhed.
PIN-kode (Soft Token) Hent adgangskoden fra en soft token-enhed.
  1. Klik på OK.
  2. Vælg profilen på listen WiFi netværk.
  3. Klik på Tilslut. Når du bliver bedt om det, skal du indtaste brugernavn, domæne og OTP.
  4. Klik på OK. Du bliver bedt om at verificere dine log in-oplysninger.

MS-CHAP-V2: Denne parameter angiver godkendelsesprotokollen, der kører over PEAP-tunnelen.

  1. Brugerlegitimationsoplysninger: Marker en af følgende muligheder: Brug Windows logon, Spørg, hver gang jeg tilslutter eller Brug følgende. For Vedvarende profiler er mulighederne Anvend følgende eller Anvend sikret adgangskode.
  2. Klik på Næste for at åbne PEAP-serverindstillingerne.

TLS: Transport Layer Security-godkendelse er en tovejs-godkendelsesmetode, der udelukkende bruger digitale certifikater til at kontrollere identiteten af en klient og en server.

  1. Anskaf og installer et klientcertifikat. Se Oprettelse af en Windows* XP profil til TLS-godkendelse, eller spørg systemadministratoren.
  2. Vælg et af følgende, for at få et certifikat: Brug mit Smartcard, Anvend det certifikat, der er udstedt til denne computer, eller Anvend et brugercertifikat på denne computer. Hvis dette er en Vedvarende administratorprofil, er kun Anvend certifikatet udstedt til denne computer tilgængelig.
  3. Klik på Næste for at åbne PEAP-serverindstillingerne.

Trin 2 af 2: PEAP-server

  1. Vælg en af følgende metoder til at hente brugerlegitimation: Kontroller servercertifikat eller Angiv server- eller certifikatnavn.
  2. Klik på OK. Profilen føjes til listen Profiler.
  3. Klik på den nye profil nederst på listen Profiler. Brug op- og nedpilene for at ændre prioriteten af den nye profil.
  4. Klik på knappen Tilslut for at tilslutte til det valgte trådløse netværk.

Hvis du ikke valgte Brug Windows logon under Sikkerhedsindstillinger, og du heller ikke konfigurerede brugerlegitimationsoplysninger, gemmes ingen legitimationsoplysninger for denne profil. Indtast legitimationsoplysninger for at blive godkendt på netværket.

  1. Klik på OK for at lukke værktøjet.

Oprettelse af en profil med LEAP netværksgodkendelse

Cisco LEAP (Light Extensible Authentication Protocol) er en 802.1X-godkendelsestype, der understøtter stærk gensidig godkendelse mellem klienten og en RADIUS-server. LEAP-Profilindstillingerne omfatter LEAP, CKIP med Rogue-adgangspunktregistrering.

Profil-kortlægning

Denne profil vil blive eksporteret anderledes til klienter der anvender Windows* XP sammenlignet med klienter der anvender Windows Vista* og Windows* 7. Se LEAP Profil-kortlægning for yderligere oplysninger.

Sådan oprettes en profil med LEAP-godkendelse

  1. Åbn Administratorværktøjet.
  2. Klik, i listen Profiler, på Tilføj. Opret trådløs profil - Generelle indstillinger åbnes.
  3. Profilnavn: Indtast et beskrivende profilnavn.
  4. WiFi-netværksnavn (SSID): Indtast netværks-ID.
  5. Driftstilstand: Klik på Netværk (Infrastruktur). (Denne parameter indstilles fra Infrastruktur kun, hvis du bruger Administratorværktøjet).
  6. Administratorprofiltype: Vælg Vedvarende eller Tilslut før logon/Fællestilslutning.
  7. Klik på Næste for at åbne Sikkerhedsindstillinger.
  8. Klik på Koncernsikkerhed.
  9. Netværksgodkendelse: Vælg WPA-Koncern eller WPA2-Koncern (anbefales).
  10. Datakryptering: AES-CCMP anbefales.
  11. Aktiver 802.1X: Valgt som standard.
  12. Godkendelsestype: Vælg LEAP der skal anvendes med denne forbindelse.
  13. Klik på Cisco-indstillinger.
  14. Klik på Aktiver Cisco Compatible Extensions for at aktivere sikkerhed med Cisco Compatible Extensions (CCX) (Tillad Fast Roaming (CCKM), Aktiver Radiostyring Support og Aktiver Mixed Cells-tilstand).

  15. cisco extensions
  16. Klik på Aktiver Radiostyring for finde rogue-adgangspunkter.
  17. Klik på OK for at returnere til Sikkerhedsindstillinger.

LEAP-bruger:

LEAP-bruger
  1. Vælg en af følgende nedenfor viste godkendelsesmetoder: Hvis du under Administratorprofiltype valgte Vedvarende (med eller uden valg af Tilslut før logon/Fælles), vil kun Brug følgende brugernavn og adgangskode være til rådighed. Hvis du kun valgte Tilslut før logon/Fælles, vil de følgende tre godkendelsesmetoder være til rådighed.
  2. Klik på OK for at gemme indstillingerne og lukke siden.

Oprettelse af en profil med EAP-FAST netværksgodkendelse

I Cisco Compatible Extensions, Version 3 (CCXv3) tilføjede Cisco support for EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling), som anvender PAC'er (Protected Access Credential) til at etablere en godkendt tunnel mellem en klient og en server. Cisco Compatible Extensions, Version 4 (CCXv4) forbedrer tildelingsmetoderne til forbedret sikkerhed og indeholder nyskabelser med hensyn til forbedret sikkerhed, mobilitet, servicekvalitet og netværksadministration.

Profil-kortlægning

Denne profil vil blive eksporteret anderledes til klienter der anvender Windows* XP sammenlignet med klienter der anvender Windows Vista* og Windows* 7. Se EAP-FAST Profil-kortlægning for yderligere oplysninger.

Oprettelse af en profil med EAP-FAST-godkendelse der anvender Cisco Compatible Extensions, version 3 (CCXv3)

  1. Åbn Administratorværktøjet.
  2. Klik på Tilføj i listen Profiler for at åbne Opret WiFi-profil - Generelle indstillinger.
  3. WiFi-netværksnavn (SSID): Indtast netværks-ID.
  4. Profilnavn: Indtast et beskrivende profilnavn.
  5. Driftstilstand: Klik på Netværk (Infrastruktur). (Denne parameter indstilles fra Infrastruktur kun, hvis du bruger Administratorværktøjet).
  6. Administratorprofiltype: Vælg Vedvarende eller Tilslut før logon/Fællestilslutning.
  7. Klik på Næste for at åbne Sikkerhedsindstillinger.
  8. Klik på Koncernsikkerhed.
  9. Netværksgodkendelse: Vælg WPA-Koncern eller WPA2-Koncern (anbefales).
  10. Datakryptering: AES-CCMP anbefales.
  11. Aktiver 802.1X: Valgt som standard.
  12. Godkendelsestype: Vælg EAP-FAST for at bruge den med denne forbindelse.

Trin 1 af 2: EAP-FAST konfigurering

  1. Klik på Deaktiver EAP-FAST Enhancements (CCXv4) for at tillade tildeling inde i en servers ikke-godkendte TLS-tunnel (Unauthenticated-TLS-Server Provisioning Mode).
  2. Klik på Vælg server for at se eventuelle ikke-godkendte PAC'er, der allerede er tildelt og ligger på computeren. (Denne mulighed er ikke tilgængelig for administratorprofiler. Den er kun tilgængelig for brugerprofiler på maskiner der anvender Windows* XP).
  1. Sådan importeres en PAC: (Denne mulighed er ikke tilgængelig for administratorprofiler. Den er kun tilgængelig for brugerprofiler på maskiner der anvender Windows* XP).
    1. Klik på Vælg server for at åbne Protected Access Credentials (PAC) listen.
    2. Klik på Importer for at importere en PAC, der findes på denne computer eller en server.
    3. Vælg PAC'en, og klik på Åbn.
    4. Indtast PAC-adgangskoden (valgfrit).
    5. Klik på OK for at lukke siden. Den valgte PAC føjes til PAC-listen.
  1. Klik på Næste for at vælge metoden til at hente legitimationsoplysninger, eller klik på OK for at gemme EAP-FAST-indstillingerne og returnere til listen Profiler. PAC'en bruges til denne trådløse profil.

Trin 2 af 2: EAP-FAST Yderligere oplysninger

For at udføre klientgodkendelse i en etableret tunnel sender en klient et brugernavn og en adgangskode til godkendelse og oprettelse af en klientgodkendelsespolitik.

  1. Klik på Brugerlegitimationsoplysninger for at vælge en af følgende metoder til at hente legitimationsoplysninger: Brug Windows logon, Spørg, hver gang jeg tilslutter eller Brug følgende.
  2. Klik på OK for at gemme indstillingerne og lukke siden. Serververificering ikke krævet.

Oprettelse af en profil med EAP-FAST-godkendelse der anvender Cisco Compatible Extensions, version 4 (CCXv4)

  1. Åbn Administratorværktøjet.
  2. Klik på Tilføj i listen Profiler for at åbne Opret WiFi-profil - Generelle indstillinger.
  3. WiFi-netværksnavn (SSID): Indtast netværks-ID.
  4. Profilnavn: Indtast et beskrivende profilnavn.
  5. Driftstilstand: Klik på Netværk (Infrastruktur). (Denne parameter indstilles fra Infrastruktur kun, hvis du bruger Administratorværktøjet).
  6. Administratorprofiltype: Vælg Vedvarende eller Tilslut før logon/Fællestilslutning.
  7. Klik på Næste for at åbne Sikkerhedsindstillinger.
  8. Klik på Koncernsikkerhed.
  9. Netværksgodkendelse: Vælg WPA-Koncern eller WPA2-Koncern (anbefales).
  10. Datakryptering: AES-CCMP anbefales.
  11. Aktiver 802.1X: Valgt.
  12. Godkendelsestype: Vælg EAP-FAST for at bruge den med denne forbindelse.

eapfast-udrulning

Trin 1 af 3: EAP-FAST konfigurering

Med CCXv4 understøtter EAP-FAST to tilstande til tildeling:

Tildeling af Protected Access Credentials (PAC):

EAP-FAST anvender en PAC-nøgle til at beskytte de brugerlegitimationsoplysninger, der udveksles. Alle EAP-FAST-godkendere identificeres af en godkendelsesidentitet (A-ID). Den lokale godkender sender sin A-ID til en godkendende klient, og klienten kontrollerer sin database for en matchende A-ID. Hvis klienten ikke genkender A-ID'et, anmoder den om en ny PAC.

  1. Kontroller, at Deaktiver EAP-FAST Enhancements (CCXv4) ikke er valgt. Tillad ikke-godkendt tildeling og Tillad godkendt tildeling vælges som standard. Når en PAC er valgt fra standardserveren, kan du fravælge enhver af disse tildelingsmetoder.
  2. Standardserver: Ingen er valgt som standard. Klik på Vælg server for at vælge en PAC fra standard-PAS-godkendelsesserveren, eller vælg en server fra listen Servergruppe. Valgsiden til EAP-FAST standardserver (PAC-godkendelse) åbnes.

PAC-distribution kan også gennemføres manuelt (uden for båndet). Med manuel tildeling kan du oprette en PAC for en bruger på en ACS-server, og derefter importere den på brugerens computer. En PAC-fil kan beskyttes med en adgangskode, som brugeren skal indtaste under en PAC-import.

  1. Sådan importeres en PAC:
    1. Klik på Importer for at importere en PAC fra PAC-serveren.
    2. Klik på Åbn.
    3. Indtast PAC-adgangskoden (valgfrit).
    4. Klik på OK for at lukke siden. Den valgte PAC bruges til denne trådløse profil.

EAP-FAST CCXv4 aktiverer support af tildeling af andre legitimationsoplysninger udover den PAC, der i øjeblikket er tildelt for etablering af tunnel. De typer legitimationsoplysninger, der understøttes, omfatter CA-certifikater, der er tillid til, maskinlegitimationsoplysninger til maskingodkendelse og midlertidige brugerlegitimationsoplysninger, der anvendes til at omgå brugergodkendelse.

Anvend et certifikat (TLS-godkendelse)

  1. Klik på Brug et certifikat (TLS-godkendelse)
  2. Klik på Identitetsbeskyttelse, når tunnelen er beskyttet.
  3. Vælg et af følgende, for at få et certifikat: Brug mit Smartcard, Anvend det certifikat, der er udstedt til denne computer, eller Anvend et brugercertifikat på denne computer.
  4. Brugernavn: Det brugernavn, der er knyttet til brugercertifikatet.
  5. Klik på Næste.

Trin 2 af 3: EAP-FAST Yderligere oplysninger

Hvis du har valgt Brug et certifikat (TLS-godkendelse) og Anvend et brugercertifikat på denne computer, klikker du på Næste (der kræves ingen roaming-identitet) og fortsætter til Trin 3 for at konfigurere EAP-FAST-servercertifikatindstillingerne. Hvis du ikke har behov for at konfigurere EAP-FAST-serverindstillinger, klikker du på OK for at gemme dine indstillinger og gå tilbage til siden Profiler.

Hvis du har valgt Brug mit smart-kort, skal du efter behov tilføje en roaming-identitet. Klik på OK for at gemme dine indstillinger og returnere til siden Profiler.

Hvis du ikke valgte Brug et certifikat (TLS-godkendelse), skal du klikke på Næste for at vælge en godkendelsesprotokol. CCXv4 tillader ekstra legitimationsoplysninger eller TLS-kodeserier til oprettelse af tunnelen.

Godkendelsesprotokol: Vælg enten GTC eller MS-CHAP-V2 (Standard).

Generic Token-kort (GTC)

GTC kan anvendes i servergodkendt tilstand. Dette giver peers mulighed for at bruge andre brugeres databaser som LDAP (Lightweight Directory Access Protocol) og tildeling af OTP (one-time password) teknologi inden for båndet. Imidlertid kan udskiftningen kun opnås, når der anvendes TLS-kodeserier, som sikrer servergodkendelse.

Sådan konfigurerer du en engangsadgangskode:

  1. Godkendelsesprotokol: Vælg GTC (Generic Token Card).
  2. Brugerlegitimationsoplysninger: Vælg Spørg, hver gang jeg tilslutter.
  3. Anmod ved tilslutning om: Marker en af følgende:
Navn Beskrivelse
Statisk adgangskode Ved tilslutning skal du angive brugerlegitimationsoplysningerne.
Engangsadgangskode (OTP) Hent adgangskoden fra en hardware token-enhed.
PIN-kode (Soft Token) Hent adgangskoden fra en soft token-enhed.
  1. Klik på OK.
  2. Vælg profilen på listen WiFi netværk.
  3. Klik på Tilslut. Du bedes om at angive brugernavn, domæne og engangsadgangskode (OTP).
  4. Klik på OK.

MS-CHAP-V2. Denne parameter angiver godkendelsesprotokollen, der kører over PEAP-tunnelen.

  1. Godkendelsesprotokol: Vælg MS-CHAP-V2.
  2. Vælg brugerlegitimationsoplysninger: Brug Windows logon, Spørg, hver gang jeg tilslutter eller Brug følgende.
  3. Roaming-identitet: En Roaming-identitet kan være indsat i dette felt, eller du kan bruge %domæne%\%brugernavn% som standardformat til indsætning af en roaming-identitet.

Ved brug af 802.1x Microsoft IAS RADIUS server som godkendelsesserver godkender serveren enheden ved hjælp af Roaming-identitet fra Intel PROSet/Wireless WiFi softwaren og ignorerer Authentication Protocol MS-CHAP-V2-brugernavnet. Microsoft IAS RADIUS accepterer kun et gyldigt brugernavn (dotNet-bruger) for Roaming-identitet. Ved alle andre godkendelsesservere er Roaming-identitet valgfri. Det anbefales derfor, at det ønskede navn (f.eks. anonym@myrealm) bruges for Roaming-identitet i stedet for en sand identitet.

Trin 3 af 3: EAP-FAST Server

Godkendt TLS-Server Provisioning Mode understøttes ved hjælp af et CA-certifikat, der er tillid til, et selv-signeret servercertifikat eller offentlige servernøgler og GTC som indre EAP-metode.

  1. Vælg en af følgende metoder til at hente brugerlegitimation: Kontroller servercertifikat eller Angiv server- eller certifikatnavn.
  2. Klik på OK for at gemme sikkerhedsindstillingerne.

EAP-FAST-brugerindstillinger

Opsætning af en klient med EAP-FAST-godkendelse:

  1. Åbn Administratorværktøjet.
  2. Klik, på siden Profiler, på Tilføj for at åbne Generelle indstillinger i Opret trådløs profil.
  3. WiFi-netværksnavn (SSID): Indtast netværks-ID.
  4. Profilnavn: Indtast et beskrivende profilnavn.
  5. Driftstilstand: Klik på Netværk (Infrastruktur). (Denne parameter indstilles fra Infrastruktur kun, hvis du bruger Administratorværktøjet).
  6. Administratorprofiltype: Vælg Vedvarende eller Tilslut før logon/Fællestilslutning.
  7. Klik på Næste for at åbne Sikkerhedsindstillinger.
  8. Klik på Koncernsikkerhed.
  9. Netværksgodkendelse: Vælg WPA-Koncern eller WPA2-Koncern.
  10. Datakryptering: Marker en af følgende:
  11. Aktiver 802.1X: Valgt.
  12. Godkendelsestype: Vælg EAP-FAST for at bruge den med denne forbindelse.
  13. Klik på for at vælge Tillad hurtig roaming (CCKM), aktiverer den trådløse klientadapter til hurtig, sikker roaming.

Trin 1 af 3: EAP-FAST Provisioning (Brugerindstillinger)

EAP-FAST anvender en PAC-nøgle til at beskytte de brugerlegitimationsoplysninger, der udveksles. Alle EAP-FAST-godkendere identificeres af en godkendelsesidentitet (A-ID). Den lokale godkender sender sin A-ID til en godkendende klient, og klienten kontrollerer sin database for en matchende A-ID. Hvis klienten ikke genkender A-ID'et, anmoder den om en ny PAC.

  1. Deaktiver EAP-FAST Enhancements (CCXv4) skal ikke være markeret.
  2. Tillad godkendt tildeling og Tillad ikke-godkendt tildeling er begge markeret.
  3. Standardserver: Ingen markeret er standard. Klik på Vælg server for at vælge en PAC fra standard PAC-godkendelsesserveren. Siden til valg af Protected Access Credentials åbnes.

PAC-distribution kan også gennemføres manuelt (uden for båndet). Med manuel tildeling kan du oprette en PAC for en bruger på en ACS-server og derefter importere den til en brugers computer. En PAC-fil kan beskyttes med en adgangskode, som brugeren skal indtaste under en PAC-import.

  1. Sådan importeres en PAC:
    1. Klik på Importer for at importere en PAC fra PAC-serveren.
    2. Klik på Åbn.
    3. Indtast PAC-adgangskoden (valgfrit).
    4. Klik på OK for at lukke siden. Den valgte PAC bruges til denne trådløse profil.
  2. Klik på Næste.
  3. Hvis dette ikke er en Tilslut før logon/Fælles-profil, skal du klikke på Næste og gå til Trin 3 af 3: EAP-FAST Server.
  4. Hvis dette er en Tilslut før logon/Fælles-profil, eller hvis du ikke bruger Administratorværktøjet til at oprette denne profil, skal du fortsætte til det næste trin.

Trin 2 af 3: EAP-FAST Yderligere oplysninger

  1. Godkendelsesprotokol: Vælg MS-CHAP-V2 eller GTC.
  2. Brugerlegitimationsoplysninger: Vælg Brug Windows Logon eller Brug følgende.
  3. Hvis du har valgt Brug følgende, skal du angive Brugernavn, Domæne, Adgangskode og Bekræft adgangskode.
  4. Angiv Roaming-identitet: %DOMÆNE%\%BRUGERNAVN
  5. Klik på Næste.

Trin 3 af 3: EAP-FAST Server

  1. Klik på Kontroller servercertifikat, hvis du ønsker det, og vælg Certifikatudsteder i rullemenuen. Standardvalget er Alle certifikatmyndigheder.
  2. Hvis du ønsker det, kan du klikke på Angiv Server- eller certifikatnavn og angive navnet. Klik derefter på Servernavnet skal matche helt præcist eller Domænenavnet skal ende med det angivne navn. Servernavnet kan indeholde alle tegn, heriblandt specialtegn.
  3. Klik på OK.

Tilbage til toppen

Tilbage til indhold

Varemærker og ansvarsfralæggelser