Creazione di profili per Windows*
Questa sezione descrive come creare profili per Windows* XP, Windows Vista* e Windows* 7.
una rete di infrastruttura consiste di uno o più punti di accesso e di uno o più computer su cui sono installate schede di rete WiFi. Ogni punto di accesso deve essere collegato tramite un cavo alla rete WiFi. Questa sezione descrive come creare diversi profili WiFi.
Creazione di un profilo senza autenticazione di rete o senza crittografia dei dati (Nessuno)
AVVISO: le reti che non utilizzano l'autenticazione o la crittografia sono molto esposte all'accesso di utenti non autorizzati.
Per creare un profilo per una connessione di rete WiFi senza crittografia:
-
Aprire lo Strumento di amministrazione.
- Nell'elenco/scheda Profili, fare clic su Aggiungi per aprire Crea profilo WiFi, Impostazioni generali.
- Nome profilo: immettere un nome di profilo descrittivo.
- Nome rete WiFi (SSID): immettere l'identificativo della rete.
- Modalità operativa: fare clic su Rete (infrastruttura). Se si utilizza lo Strumento di amministrazione, questo parametro è impostato su Infrastruttura.
- Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune.
- Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
- Fare clic su Protezione aziendale.
- Autenticazione di rete: Aperta (selezionata):
L'autenticazione aperta consente a una periferica wireless di accedere alla rete senza l'autenticazione 802.11. Se sulla rete non è attivata la crittografia, qualunque periferica wireless che conosce il corretto nome della rete (SSID) può associarsi al punto di accesso e ottenere l'accesso alla rete.
- Crittografia dati: nessuna crittografia è l'impostazione predefinita.
- Fare clic su OK. Il profilo viene aggiunto all'elenco Profili e avviene la connessione alla rete wireless.
Creazione di un profilo con autenticazione di rete condivisa
L'autenticazione a chiave condivisa presuppone che ciascuna stazione wireless abbia ricevuto una chiave condivisa segreta tramite un canale protetto e indipendente dal canale di comunicazioni di rete wireless 802.11. L'autenticazione a chiave condivisa richiede che il client configuri una chiave WEP o CKIP statica. Al client viene consentito l'accesso solo se risponde correttamente alla richiesta su cui è basata la procedura di autenticazione. CKIP fornisce una crittografia dei dati migliore rispetto a WEP, ma non tutti i sistemi operativi e punti di accesso la supportano.
NOTA: sebbene la chiave condivisa sembri essere l'opzione migliore per un livello di protezione superiore, la trasmissione della stringa di richiesta al client in testo non crittografato costituisce chiaramente un punto debole. Se qualcuno utilizza uno strumento software per rilevare la stringa di richiesta, la chiave di autenticazione condivisa può essere facilmente decodificata. Quindi l'autenticazione aperta (con crittografia dei dati) è in realtà più sicura.
Per creare un profilo con l'autenticazione condivisa:
-
Aprire lo Strumento di amministrazione.
- Nell'elenco/scheda Profili, fare clic su Aggiungi per aprire Crea profilo WiFi, Impostazioni generali.
- Nome profilo: immettere un nome di profilo descrittivo.
- Nome rete WiFi (SSID): immettere l'identificativo della rete.
- Modalità operativa: fare clic su Rete (infrastruttura). Se si utilizza lo Strumento di amministrazione, questo parametro è impostato su Infrastruttura.
- Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune.
- Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
- Fare clic su Protezione aziendale.
- Autenticazione di rete: selezionare Condivisa. l'autenticazione condivisa viene realizzata tramite una chiave WEP preconfigurata.
- Crittografia dati: selezionare Nessuna, WEP (a 64 o 128 bit) o CKIP (a 64 o 128 bit).
- Attiva 802.1X: Disattivata.
- Livello crittografia: A 64 bit o a 128 bit: quando si passa dalla crittografia a 64 bit a quella a 128 bit le impostazioni precedenti sono cancellate ed è necessario immettere un nuova chiave.
- Indice chiave: selezionare 1, 2, 3 o 4. Cambiare l'indice chiave in modo da specificare quattro password.
- Password protezione wireless (chiave di crittografia): immettere la password di protezione wireless (chiave di crittografia). Questa password è la stessa usata dal punto di accesso o router wireless. Per sapere la password, rivolgersi all'amministratore della rete wireless.
- Frase di accesso (64 bit): usare cinque (5) caratteri alfanumerici, 0-9, a-z o A-Z.
- Chiave esadecimale (64 bit): Immettere 10 caratteri esadecimali, 0-9, A-F.
- Frase di accesso (128 bit): Usare 13 caratteri alfanumerici, 0-9, a-z o A-Z.
- Chiave esadecimale (128 bit): Immettere 26 caratteri esadecimali, 0-9, A-F.
Creazione di un profilo con autenticazione di rete WPA-Personale o WPA2-Personale
L'accesso protetto Wi-Fi (WPA) rappresenta una funzione di protezione potenziata che aumenta significativamente il livello di protezione dei dati e il controllo dell'accesso alla rete wireless. WPA-Personale impone lo scambio di chiavi e funziona solo con le chiavi di crittografia dinamica. Se il punto di accesso o il router wireless supporta la funzione WPA-Personale o WPA2-Personale allora è necessario attivarla nel punto di accesso e fornire una password lunga e sicura. Per reti private o domestiche senza un server RADIUS o AAA, usare Wi-Fi Protected Access Personal.
- WPA-Personale: metodo di protezione wireless che offre alle reti di piccole dimensioni una potente protezione dei dati e impedisce gli accessi non autorizzati alla rete. Usa la crittografia di Temporal Key Integrity Protocol (TKIP) o AES-CCMP e protegge dagli accessi non autorizzati alla rete tramite l'uso di una chiave precondivisa (PSK).
- WPA2-Personale: metodo di protezione wireless più avanzato di WPA che offre alle reti di piccole dimensioni una protezione dei dati più potente e impedisce gli accessi non autorizzati alla rete.
NOTA: WPA-Personale e WPA2-Personale sono interoperabili.
È possibile che il sistema operativo del sistema in uso non supporti alcuni metodi di protezione. In questo caso, è necessario aggiungere altre applicazioni o determinati componenti hardware nonché verificare che il sistema supporti l'infrastruttura LAN wireless. Per ulteriori informazioni, rivolgersi al produttore.
Per aggiungere un profilo con l'autenticazione di rete WPA-Personale o WPA2-Personale:
-
Aprire lo Strumento di amministrazione.
- Nell'elenco/scheda Profili, fare clic su Aggiungi per aprire Crea profilo WiFi, Impostazioni generali.
- Nome profilo: immettere un nome di profilo descrittivo.
- Nome rete WiFi (SSID): immettere l'identificativo della rete.
- Modalità operativa: fare clic su Rete (infrastruttura). Se si utilizza lo Strumento di amministrazione, questo parametro è impostato su Infrastruttura.
- Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune.
- Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
- Fare clic su Protezione aziendale.
- Autenticazione di rete: selezionare WPA-Personale o WPA2-Personale. Vedere Informazioni generali sulla protezione.
- Crittografia dati: selezionare TKIP o AES-CCMP.
- Password: immettere una frase di testo lunga da 8 a 63 caratteri. Maggiore è la lunghezza di questa password e maggiore è la protezione della rete wireless. La stessa password immessa nel punto di accesso deve essere usata sul computer e su tutte le altre periferiche wireless che accedono alla rete wireless.
Creazione di un profilo con autenticazione di rete WPA-Enterprise o WPA2-Enterprise
WPA-2 Enterprise richiede un server di autenticazione.
- WPA-Enterprise: metodo di protezione wireless che offre alle reti con più utenti o di grandi dimensioni una potente protezione dei dati. Utilizza la struttura di autenticazione 802.1X con la crittografia TKIP o AES-CCMP e impedisce gli accessi non autorizzati alla rete verificando gli utenti della rete tramite un server di autenticazione.
- WPA2-Enterprise: metodo di protezione wireless più avanzato di WPA che offre alle reti con più utenti o di grandi dimensioni una protezione dei dati più potente. Impedisce gli accessi non autorizzati alla rete verificando gli utenti della rete tramite un server di autenticazione.
NOTA: WPA-Enterprise e WPA2-Enterprise sono interoperabili.
Per aggiungere un profilo che usa l'autenticazione WPA-Enterprise o WPA2-Enterprise:
- Richiedere all'amministratore del sistema un nome utente e una password per il server RADIUS.
- Alcuni tipi di autenticazione richiedono l'ottenimento e l'installazione di un certificato client. Vedere Creazione di un profilo con autenticazione TLS o rivolgersi all'amministratore.
-
Aprire lo Strumento di amministrazione.
- Nell'elenco Profili, fare clic su Aggiungi per aprire Crea profilo WiFi, Impostazioni generali.
- Nome profilo: immettere un nome di profilo descrittivo.
- Nome rete WiFi (SSID): immettere l'identificativo della rete.
- Modalità operativa: fare clic su Rete (infrastruttura). Se si utilizza lo Strumento di amministrazione, questo parametro è impostato su Infrastruttura.
- Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune.
- Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
- Fare clic su Protezione aziendale.
- Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise.
- Crittografia dati: selezionare TKIP o AES-CCMP.
- Attiva 802.1X: questa opzione è selezionata per impostazione predefinita.
- Tipo di autenticazione: selezionare una delle opzioni seguenti: EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.
Configurazione di profili di rete con i tipi di autenticazione 802.1X
Creazione di un profilo con crittografia dei dati WEP e autenticazione di rete EAP-SIM
Per crittografare i dati, EAP-SIM usa una chiave dinamica WEP basata su sessione, che è ricavata dalla scheda di rete del client, e un server RADIUS. EAP-SIM richiede che si immetta un codice di verifica dell'utente, o PIN, per la comunicazione con la scheda SIM (Subscriber Identity Module). La scheda SIM è una smart card di tipo speciale usata dalle reti cellulari digitali basate su GSM.
Mapping del profilo
Questo profilo sarà esportato in modo diverso sui client che eseguono Windows* XP rispetto ai client che eseguono Windows Vista* e Windows* 7. Vedere Mapping del profilo EAP-SIM per ulteriori informazioni.
Per aggiungere un profilo con l'autenticazione EAP-SIM:
-
Aprire lo Strumento di amministrazione.
- Nell'elenco Profili, fare clic su Aggiungi per aprire Crea profilo WiFi, Impostazioni generali.
- Nome profilo: immettere un nome di profilo.
- Nome rete WiFi (SSID): immettere l'identificativo della rete.
- Modalità operativa: fare clic su Rete (infrastruttura). Se si utilizza lo Strumento di amministrazione, questo parametro è impostato su Infrastruttura.
- Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune.
- Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
- Fare clic su Protezione aziendale.
- Autenticazione di rete: selezionare Apri (operazione consigliata).
- Crittografia dati: selezionare WEP.
- Fare clic su Attiva 802.1X.
- Tipo di autenticazione: selezionare EAP-SIM.
L'autenticazione EAP-SIM può essere usata con:
- Tipi di autenticazione di rete: Aperta, Condivisa, WPA-Enterprise e WPA2-Enterprise
- Tipi di crittografia dei dati: Nessuna, WEP, TKIP, AES-CCMP e CKIP
Utente EAP-SIM (facoltativo)
- Fare clic su Specifica il nome utente (identità):
- In Nome utente: immettere il nome utente assegnato alla scheda SIM.
- Fare clic su OK.
Creazione di un profilo Windows* XP con autenticazione di rete EAP-AKA
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) è un meccanismo EAP per l'autenticazione e la distribuzione delle chiavi di sessione, che utilizza Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM). La scheda USIM è una speciale smart card utilizzata con reti cellulari per convalidare un utente nella rete.
L'autenticazione EAP-AKA può essere usata con:
- Autenticazione di rete: aperta, WPA-Enterprise e WPA2-Enterprise
- Crittografia dati: WEP o CKIP per autenticazione aperta, TKIP o AES-CCMP per autenticazione Enterprise.
Mapping del profilo
Questo profilo sarà esportato in modo diverso sui client che eseguono Windows* XP rispetto ai client che eseguono Windows Vista* e Windows* 7. Vedere Mapping del profilo EAP-AKA per ulteriori informazioni.
Per aggiungere un profilo con l'autenticazione EAP-AKA:
-
Aprire lo Strumento di amministrazione.
- Nell'elenco Profili, fare clic su Aggiungi per aprire Crea profilo WiFi, Impostazioni generali.
- Nome profilo: immettere un nome di profilo.
- Nome rete WiFi (SSID): immettere l'identificativo della rete.
- Modalità operativa: fare clic su Rete (infrastruttura). Se si utilizza lo Strumento di amministrazione, questo parametro è impostato su Infrastruttura.
- Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune.
- Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
- Fare clic su Protezione aziendale.
- Autenticazione di rete: selezionare Aperta, WPA-Enterprise o WPA2-Enterprise.
- Crittografia dati: selezionare WEP o CKIP per l'autenticazione Aperta, TKIP o AES-CCMP per l'autenticazione Enterprise.
- Fare clic su Attiva 802.1X se non è già selezionata.
- Tipo di autenticazione: Selezionare EAP-AKA.
Utente EAP-AKA (facoltativo)
- Fare clic su Specifica il nome utente (identità):
- In Nome utente: immettere il nome utente assegnato alla scheda USIM.
- Fare clic su OK.
Creazione di un profilo con autenticazione di rete TLS
Queste impostazioni definiscono il protocollo e le credenziali usate per autenticare un utente. L'autenticazione TLS (Transport Layer Security) è un metodo di autenticazione bidirezionale che usa esclusivamente i certificati digitali per verificare l'identità di un client e un server.
Mapping del profilo
Questo profilo sarà esportato in modo diverso sui client che eseguono Windows* XP rispetto ai client che eseguono Windows Vista* e Windows* 7. Vedere Mapping del profilo TLS per ulteriori informazioni.
Per creare un profilo con autenticazione TLS
-
Aprire lo Strumento di amministrazione.
- Nell'elenco Profili, fare clic su Aggiungi per aprire Crea profilo WiFi, Impostazioni generali.
- Nome profilo: immettere un nome di profilo descrittivo.
- Nome rete WiFi (SSID): immettere l'identificativo della rete.
- Modalità operativa: fare clic su Rete (infrastruttura). Se si utilizza lo Strumento di amministrazione, questo parametro è impostato su Infrastruttura.
- Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune.
- Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
- Fare clic su Protezione aziendale.
- Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise (scelta consigliata).
- Crittografia dati: selezionare AES-CCMP (scelta consigliata).
- Attiva 802.1X: questa opzione è selezionata per impostazione predefinita.
- Tipo di autenticazione: selezionare TLS da usare con la connessione.
Passaggio 1 di 2: Utente TLS
- Ottenere e installare un certificato del client. Vedere Creazione di un profilo con autenticazione TLS o rivolgersi all'amministratore di sistema.
- Per ottenere un certificato selezionare una delle opzioni seguenti: Usa la mia smart card, Usa il certificato emesso per questo computer o Usa un certificato utente su questo computer.
- Fare clic su Avanti per visualizzare le impostazioni del server TLS.
Passaggio 2 di 2: Server TLS
- Selezionare uno dei seguenti metodi di recupero per le credenziali utente: Convalida il certificato del server o Specificare il nome del server o del certificato.
- Fare clic su OK. Il profilo viene aggiunto all'elenco dei profili.
- Fare clic sul nuovo profilo alla fine dell'elenco Profili. Usando la freccia rivolta verso l'alto e quella verso il basso spostare la priorità del nuovo profilo nella posizione desiderata nell'elenco di priorità.
- Fare clic su Connetti per effettuare la connessione alla rete wireless selezionata.
- Fare clic su OK per chiudere l'utilità.
Creazione di un profilo con autenticazione di rete TTLS
Autenticazione TTLS: queste impostazioni definiscono il protocollo e le credenziali usate per autenticare un utente. Il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Il client può utilizzare un altro protocollo di autenticazione. In genere un protocollo basato su password utilizza un canale TLS crittografato e non esposto.
Mapping del profilo
Questo profilo sarà esportato in modo diverso sui client che eseguono Windows* XP rispetto ai client che eseguono Windows Vista* e Windows* 7. Vedere Mapping del profilo TTLS per ulteriori informazioni.
Per creare un profilo con autenticazione TTLS
-
Aprire lo Strumento di amministrazione.
- Nell'elenco Profili, fare clic su Aggiungi per aprire Crea profilo WiFi, Impostazioni generali.
- Nome profilo: immettere un nome di profilo descrittivo.
- Nome rete WiFi (SSID): immettere l'identificativo della rete.
- Modalità operativa: fare clic su Rete (infrastruttura). Se si utilizza lo Strumento di amministrazione, questo parametro è impostato su Infrastruttura.
- Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune.
- Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
- Fare clic su Protezione aziendale.
- Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise (scelta consigliata).
- Crittografia dati: selezionare TKIP o AES-CCMP (scelta consigliata).
- Attiva 802.1X: questa opzione è selezionata per impostazione predefinita.
- Tipo di autenticazione: selezionare TLS da usare con la connessione.
Passaggio 1 di 2: utente TTLS
- Protocollo di autenticazione: questo parametro specifica il protocollo di autenticazione che opera sul tunnel TTLS. I protocolli sono i seguenti: PAP (impostazione predefinita), CHAP, MS-CHAP e MS-CHAP-V2. Per ulteriori informazioni, vedere Informazioni generali sulla protezione.
- Credenziali utente: per i protocolli PAP, CHAP, MS-CHAP e MS-CHAP-V2, selezionare uno dei seguenti metodi di autenticazione: Usa accesso Windows, Chiedere ad ogni connessione o Usare i dati seguenti.
- Identità di roaming: un'identità di roaming può essere inserita in questo campo o è possibile utilizzare %dominio%\%nomeutente% come formato predefinito per inserire un'identità di roaming.
Quando si usa come server di autenticazione un server 802.1X Microsoft RADIUS, questo server autentica la periferica usando l'Identità di roaming del software Intel® PROSe/Wireless WiFi e ignora il Protocollo di autenticazione MS-CHAP-V2. Il server Microsoft IAS RADIUS accetta per Identità di roaming solo nomi utente validi (utente dotNet). Per tutti gli altri server di autenticazione, l'Identità di roaming è facoltativa. Per questo motivo per l'Identità di roaming si consiglia di usare l’area di autenticazione desiderata (per esempio, anonimo@miaAreaAutenticazione) invece dell'identità reale.
- Fare clic su Avanti per aprire le impostazioni del server TTLS.
Passaggio 2 di 2: Server TTLS
- Selezionare uno dei seguenti metodi di recupero per le credenziali utente: Convalida il certificato del server o Specificare il nome del server o del certificato.
- Fare clic su OK per salvare le impostazioni e chiudere la pagina.
Creazione di un profilo con autenticazione di rete PEAP
Autenticazione PEAP: le impostazioni PEAP sono richieste per l'autenticazione del client presso il server di autenticazione. Il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Su questo canale crittografato il client può utilizzare un altro meccanismo EAP, quale Microsoft Challenge Authentication Protocol (MS-CHAP) versione 2, per abilitare la convalida del server. I pacchetti di richiesta e di risposta sono inviati su un canale TLS crittografato e non esposto. Nell'esempio seguente è descritto come usare WPA con la crittografia AES-CCMP o TKIP usando l'autenticazione PEAP.
Mapping del profilo
Questo profilo sarà esportato in modo diverso sui client che eseguono Windows* XP rispetto ai client che eseguono Windows Vista* e Windows* 7. Vedere Mapping del profilo PEAP per ulteriori informazioni.
Per creare un profilo con autenticazione PEAP
Ottenere e installare un certificato del client. Vedere Creazione di un profilo Windows* XP con autenticazione TLS o rivolgersi all'amministratore.
-
Aprire lo Strumento di amministrazione.
- Nell'elenco Profili, fare clic su Aggiungi per aprire Crea profilo WiFi, Impostazioni generali.
- Nome profilo: immettere un nome di profilo descrittivo.
- Nome rete WiFi (SSID): immettere l'identificativo della rete.
- Modalità operativa: fare clic su Rete (infrastruttura). Se si utilizza lo Strumento di amministrazione, questo parametro è impostato su Infrastruttura.
- Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune.
- Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
- Fare clic su Protezione aziendale.
- Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise (scelta consigliata).
- Crittografia dati: selezionare una delle opzioni seguenti: AES-CCMP è l'opzione consigliata.
- Attiva 802.1X: questa opzione è selezionata per impostazione predefinita.
- Tipo di autenticazione: selezionare PEAP da usare con la connessione.
Passaggio 1 di 2: Utente PEAP
PEAP utilizza il protocollo TLS (Transport Layer Security) per consentire l'uso di tipi d'autenticazione non crittografati come il supporto GTC (Token Card) EAP generico ed OPT (One-Time Password).
- Protocollo di autenticazione: selezionare GTC, MS-CHAP-V2 (impostazione predefinita) o TLS. Vedere Protocolli di autenticazione.
- Credenziali utente: qui di seguito sono riportate le opzioni disponibili per le credenziali utente. Le credenziali disponibili potrebbero non corrispondere a quelle qui riportate, secondo che si sta creando un profilo su Windows* XP o un profilo di amministratore IT per Windows XP, Windows Vista o Windows* 7. Ulteriori informazioni sono fornite qui di seguito in questa sezione.
- Per GTC, le credenziali utente possono essere impostate su Usa accesso Windows, Chiedere ad ogni connessione o Usare i dati seguenti (che richiede nome utente, dominio e password). Le opzioni disponibili cambiano anche a seconda che si tratti di un profilo permanente o non permanente (opzione selezionata nella finestra Impostazioni generali per i profili dell'amministratore).
- Per MS-CHAP-V2, le credenziali utente possono essere impostate su Usa accesso Windows, Chiedere ad ogni connessione o Usare i dati seguenti (che richiede nome utente, dominio e password). Le opzioni disponibili cambiano anche a seconda che si tratti di un profilo permanente o non permanente (opzione selezionata nella finestra Impostazioni generali per i profili dell'amministratore). Per i profili dell'amministratore IT permanenti, le credenziali utente possono essere impostate su Usare i dati seguenti o Usa password protetta. La password protetta usa le credenziali del computer e non è legata a nessun utente specifico.
- Identità di roaming: un'identità di roaming può essere inserita in questo campo o è possibile utilizzare %dominio%\%nomeutente% come formato predefinito per inserire un'identità di roaming.
Quando si usa come server di autenticazione un server 802.1X Microsoft RADIUS, questo server autentica la periferica usando l'Identità di roaming del software Intel® PROSe/Wireless WiFi e ignora il Protocollo di autenticazione MS-CHAP-V2. Il server Microsoft IAS RADIUS accetta per Identità di roaming solo nomi utente validi (utente dotNet). Per tutti gli altri server di autenticazione, l'Identità di roaming è facoltativa. Per questo motivo per l'Identità di roaming si consiglia di usare l’area di autenticazione desiderata (per esempio, anonimo@miaAreaAutenticazione) invece dell'identità reale.
Configurazione dell'identità di roaming per più utenti:
Se si usa il profilo di Pre-accesso/Comune che richiede un'identità di roaming basata sulle credenziali di accesso di Windows, l'autore del profilo può aggiungere un'identità di roaming che utilizzi %nomeutente% e %dominio%. L'identità di roaming viene analizzata e le parole chiave vengono sostituite con le informazioni di accesso corrette. Ciò permette di configurare l'identità di roaming con la massima flessibilità permettendo al tempo stesso a più utenti di condividere lo stesso profilo.
Per istruzioni sul formato corretto da utilizzare per l'identità di roaming, vedere il manuale dell'utente del server di autenticazione. I formati possibili sono:
%dominio%\%nome_utente%
%nome_utente%@%domino%
%nome_utente%@%domino%.com
%nome_utente%@miarete.com
Se il campo Identità di roaming è vuoto, viene impostata l'identità di roaming predefinita %dominio%\%nomeutente%.
Note sulle credenziali: il nome utente e del dominio deve corrispondere al nome utente che è impostato nel server di autenticazione dall'amministratore prima che avvenga l'autenticazione del client. Il nome utente distingue tra maiuscole e minuscole. Questo nome indica l'identità fornita all'autenticatore dal protocollo di autenticazione che opera sul tunnel TLS. L'identità di questo utente è trasmessa in modo protetto al server solo dopo che è stato verificato e stabilito un canale crittografato.
Protocolli di autenticazione
Questo parametro specifica i protocolli di autenticazione che possono operare sul tunnel TTLS. Di seguito vengono riportate le istruzioni su come configurare un profilo che utilizza l'autenticazione PEAP con i protocolli di autenticazione GTC, MS-CHAP-V2 (valore predefinito) o TLS. Le credenziali utente selezionate sono solo di esempio.
Generic Token Card (GTC)
Per configurare la password per una singola sessione:
- Protocollo di autenticazione: selezionare GTC (Generic Token Card).
- Credenziali utente: selezionare Chiedere ad ogni connessione. (Questa opzione è disponibile solo se si sta creando un profilo personale su un computer Windows* XP. Non disponibile per profili IT.)
- Alla connessione richiedi: selezionare una delle opzioni seguenti:
Nome |
Descrizione |
Password statica |
Immettere le credenziali dell'utente al momento della connessione. |
Password per una singola sessione (OTP) |
Ottenere la password da una periferica hardware token. |
PIN (soft token) |
Ottenere la password da un programma soft token. |
- Fare clic su OK.
- Selezionare il profilo nell'elenco Reti WiFi.
- Fare clic su Connetti. Quando richiesto, immettere il nome utente, il dominio e la password per una singola sessione (OTP).
- Fare clic su OK. Verrà richiesto di verificare le informazioni di login.
MS-CHAP-V2: Questo parametro specifica il protocollo di autenticazione che opera sul tunnel PEAP.
- Credenziali utente: selezionare una delle opzioni seguenti: Usa accesso Windows, Chiedere ad ogni connessione o Usare i dati seguenti. Per i profili permanenti le opzioni sono Usare i dati seguenti o Usa password protetta.
- Fare clic su Avanti per visualizzare le impostazioni del server PEAP.
TLS: l'autenticazione Transport Layer Security è un metodo di autenticazione bidirezionale che usa esclusivamente i certificati digitali per verificare l'identità di un client e un server.
- Ottenere e installare un certificato del client. Vedere Creazione di un profilo Windows* XP con autenticazione TLS o rivolgersi all'amministratore del sistema.
- Per ottenere un certificato selezionare una delle opzioni seguenti: Usa la mia smart card, Usa il certificato emesso per questo computer o Usa un certificato utente su questo computer. Se è un profilo dell'amministratore permanente, è solo disponibile Usa il certificato emesso per questo computer.
- Fare clic su Avanti per visualizzare le impostazioni del server PEAP.
Passaggio 2 di 2: Server PEAP
- Selezionare uno dei seguenti metodi di recupero per le credenziali utente: Convalida il certificato del server o Specificare il nome del server o del certificato.
- Fare clic su OK. Il profilo viene aggiunto all'elenco dei profili.
- Fare clic sul nuovo profilo alla fine dell'elenco Profili. Usando la freccia rivolta verso l'alto e quella verso il basso spostare la priorità del nuovo profilo nella posizione desiderata nell'elenco di priorità.
- Fare clic su Connetti per effettuare la connessione alla rete wireless selezionata.
Se non è stato selezionato Usa accesso Windows nella finestra di dialogo Impostazioni protezione e non sono state configurate le credenziali dell'utente, non saranno salvate credenziali per questo profilo. Immettere le credenziali qui di seguito per eseguire l'autenticazione alla rete.
- Fare clic su OK per chiudere l'utilità.
Creazione di un profilo con autenticazione di rete LEAP
Cisco LEAP (Light Extensible Authentication Protocol) è un tipo di autenticazione 802.1X che supporta l'autenticazione avanzata reciproca tra il client e un server RADIUS. Le impostazioni dei profili LEAP comprendono LEAP, CKIP con rilevamento automatico dei punti di accesso non autorizzati.
Mapping del profilo
Questo profilo sarà esportato in modo diverso sui client che eseguono Windows* XP rispetto ai client che eseguono Windows Vista* e Windows* 7. Vedere Mapping del profilo LEAP per ulteriori informazioni.
Per creare un profilo con autenticazione LEAP
-
Aprire lo Strumento di amministrazione.
- Nell'elenco Profili fare clic su Aggiungi. Viene aperta la finestra di dialogo Crea profilo WiFi, Impostazioni generali.
- Nome profilo: immettere un nome di profilo descrittivo.
- Nome rete WiFi (SSID): immettere l'identificativo della rete.
- Modalità operativa: fare clic su Rete (infrastruttura). Se si utilizza lo Strumento di amministrazione, questo parametro è impostato su Infrastruttura.
- Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune.
- Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
- Fare clic su Protezione aziendale.
- Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise (scelta consigliata).
- Crittografia dati: AES-CCMP è l'opzione consigliata.
- Attiva 802.1X: questa opzione è selezionata per impostazione predefinita.
- Tipo di autenticazione: selezionare LEAP da usare con questa connessione.
- Fare clic su Opzioni Cisco.
- Fare clic su Attiva le estensioni compatibili con Cisco per attivare la protezione Cisco Compatible Extensions (CCX) (Consenti roaming veloce (CCKM), Attiva il supporto per la gestione della radio, Attiva modalità cella mista).
- Fare clic su Attiva il supporto per la gestione della radio per rilevare i punti di accesso non autorizzati.
- Fare clic su OK per tornare a Impostazioni protezione.
Utente LEAP:
- Selezionare uno dei metodi di autenticazione elencati di seguito. Se si seleziona Permanente sotto a Tipo profilo amministratore (avendo o meno selezionato pre-accesso/comune), è disponibile solo l'opzione Usa il nome utente e la password seguenti. Se si seleziona solo Pre-accesso/comune, sono disponibili i seguenti tre metodi di autenticazione.
- Fare clic su OK per salvare le impostazioni e chiudere la pagina.
Creazione di un profilo con autenticazione di rete EAP-FAST
In Cisco Compatible Extensions, versione 3 (CCXv3), Cisco ha aggiunto il supporto per EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) che utilizza credenziali di accesso protette (PAC) per stabilire un tunnel autenticato tra il client e il server. Cisco Compatible Extensions, versione 4 (CCXv4) migliora i metodi di acquisizione, ottimizzando la protezione e fornendo funzionalità innovative che incrementano la sicurezza, la mobilità, la qualità del servizio e la gestibilità della rete.
Mapping del profilo
Questo profilo sarà esportato in modo diverso sui client che eseguono Windows* XP rispetto ai client che eseguono Windows Vista* e Windows* 7. Vedere Mapping del profilo EAP-FAST per ulteriori informazioni.
Per creare un profilo con autenticazione EAP-FAST usando Cisco Compatible Extensions, versione 3 (CCXv3)
-
Aprire lo Strumento di amministrazione.
- Nell'elenco Profili, fare clic su Aggiungi per aprire Crea profilo WiFi, Impostazioni generali.
- Nome rete WiFi (SSID): immettere l'identificativo della rete.
- Nome profilo: immettere un nome di profilo descrittivo.
- Modalità operativa: fare clic su Rete (infrastruttura). Se si utilizza lo Strumento di amministrazione, questo parametro è impostato su Infrastruttura.
- Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune.
- Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
- Fare clic su Protezione aziendale.
- Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise (scelta consigliata).
- Crittografia dati: AES-CCMP è l'opzione consigliata.
- Attiva 802.1X: questa opzione è selezionata per impostazione predefinita.
- Tipo di autenticazione: selezionare l'EAP-FAST da usare con la connessione.
Passaggio 1 di 2: Acquisizione EAP-FAST
- Fare clic su Disattiva miglioramenti EAP-FAST (CCXv4) per consentire l'acquisizione all'interno di un tunnel TSL non autenticato dal server (modalità di acquisizione senza autenticazione TLS-Server).
- Fare clic sul pulsante Seleziona server per visualizzare le PAC che sono già state acquisite e che si trovano sul computer. (Questa opzione non è disponibile per i profili dell'amministratore. È disponibile solo per i profili utente sui computer che eseguono Windows* XP.)
- Per importare una PAC: (Questa opzione non è disponibile per i profili dell'amministratore. È disponibile solo per i profili utente sui computer che eseguono Windows* XP.)
- Fare clic su Seleziona server per aprire l'elenco Credenziali di accesso protetto (PAC).
- Fare clic su Importa per importare una PAC che risiede nel computer o in un server.
- Selezionare la PAC e fare clic su Apri.
- Digitare la password della PAC (facoltativo).
- Fare clic su OK per chiudere la pagina. La PAC selezionata è aggiunta all'elenco delle PAC.
- Fare clic su Avanti per selezionare il metodo di recupero della credenziale oppure fare clic su OK per salvare le impostazioni EAP-FAST e tornare all'elenco dei profili. La PAC selezionata viene usata per il profilo wireless.
Passaggio 2 di 2: Ulteriori informazioni su EAP-FAST
Per eseguire l'autenticazione del client sul tunnel selezionato, il client invia il nome utente e la password necessari per eseguire l'autenticazione e stabilire la modalità per il rilascio di autorizzazione al client.
- Fare clic su Credenziali utente per selezionare uno dei seguenti metodi di recupero delle credenziali: Usa accesso Windows, Chiedere ad ogni connessione o Usare i dati seguenti.
- Fare clic su OK per salvare le impostazioni e chiudere la pagina. La verifica del server non è richiesta.
Per creare un profilo con autenticazione EAP-FAST usando Cisco Compatible Extensions, versione 4 (CCXv4)
-
Aprire lo Strumento di amministrazione.
- Nell'elenco Profili, fare clic su Aggiungi per aprire Crea profilo WiFi, Impostazioni generali.
- Nome rete WiFi (SSID): immettere l'identificativo della rete.
- Nome profilo: immettere un nome di profilo descrittivo.
- Modalità operativa: fare clic su Rete (infrastruttura). Se si utilizza lo Strumento di amministrazione, questo parametro è impostato su Infrastruttura.
- Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune.
- Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
- Fare clic su Protezione aziendale.
- Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise (scelta consigliata).
- Crittografia dati: AES-CCMP è l'opzione consigliata.
- Attiva 802.1X: selezionato.
- Tipo di autenticazione: selezionare l'EAP-FAST da usare con la connessione.
Passaggio 1 di 3: Acquisizione EAP-FAST
Con CCXv4 EAP-FAST supporta due modalità di acquisizione:
- Modalità autenticata da server: acquisizione all'interno di un tunnel TLS autenticato di un server.
- Modalità non autenticata da server: acquisizione all'interno di un tunnel TLS non autenticato.
Acquisizione delle credenziali di accesso protetto (PAC):
EAP-FAST usa una chiave PAC (Protected Access Credentials) per proteggere le credenziali dell'utente che vengono scambiate. Tutti gli autenticatori EAP-FAST sono identificati tramite l'identità di un'autorità (A-ID). L'autenticatore locale invia il proprio A-ID al client di autenticazione e il client ricerca un A-ID corrispondente nel proprio database. Se il client non riconosce l'A-ID, richiede una nuova PAC.
- Verificare che l'opzione Disattiva miglioramenti EAP-FAST (CCXv4) sia deselezionata. Per impostazione predefinita le opzioni Consenti preparazione senza autenticazione e Consenti preparazione con autenticazione. È possibile deselezionare queste modalità di acquisizione dopo aver selezionato una PAC dal server predefinito.
- Server predefinito: nessuna crittografia è l'impostazione predefinita. Fare clic su Seleziona server per selezionare una PAC dal server predefinito di autorità delle PAC oppure selezionare un server dall'elenco Gruppo di server. Viene visualizzata la pagina di selezione del server predefinito EAP-FAST (Autorità PAC).
La distribuzione della PAC può anche essere completata manualmente (fuori banda). La fornitura automatica consente di creare una PAC per un utente su un server ACS e quindi di importarla nel computer dell'utente. Il file della PAC può essere protetto tramite una password e questa password deve essere immessa dall'utente durante l'importazione della PAC.
- Per importare una PAC:
- Fare clic su Importa per importare una PAC dal server PAC.
- Fare clic su Apri.
- Digitare la password della PAC (facoltativo).
- Fare clic su OK per chiudere la pagina. La PAC selezionata viene usata per il profilo wireless.
EAP-FAST CCXv4 abilita il supporto per l'acquisizione di altre credenziali oltre le PAC fornite dalla configurazione del tunnel. I tipi di credenziali supportati comprendono il certificato CA attendibile, le credenziali del sistema per l'autenticazione e le credenziali utente temporanee utilizzate per evitare l'autenticazione utente.
Usa un certificato (Autenticazione TLS)
- Fare clic su Usare un certificato (Autenticazione TLS)
- Fare clic su Protezione identità quando il tunnel è protetto.
- Per ottenere un certificato selezionare una delle opzioni seguenti: Usa la mia smart card, Usa il certificato emesso per questo computer o Usa un certificato utente su questo computer.
- Nome utente: immettere il nome utente assegnato al certificato utente.
- Fare clic su Avanti.
Passaggio 2 di 3: Ulteriori informazioni su EAP-FAST
Se si seleziona Usare un certificato (autenticazione TLS) e Usa il certificato utente su questo computer, è necessario fare clic su Avanti (non è richiesta alcuna identità di roaming) e continuare con il passaggio 3 per configurare le impostazioni del certificato del server EAP-FAST. Se non è necessario configurare le impostazioni del server EAP-FAST, fare clic su OK per salvare le impostazioni e tornare alla pagina Profili.
Se è stato selezionato Usa la mia smart card, è necessario aggiungere l'eventuale identità di roaming. Fare clic su OK per salvare le impostazioni e tornare alla pagina Profili.
Se non si è selezionato Usare un certificato (Autenticazione TLS), fare clic su Avanti per selezionare il protocollo di autenticazione. CCXv4 permette anche a credenziali aggiuntive o alla suite di cifratura TLS di stabilire il tunnel.
Protocollo di autenticazione: selezionare GTC o MS-CHAP-V2 (impostazione predefinita).
Generic Token Card (GTC)
GTC può essere usato nella modalità Autenticazione da server. Ciò consente ai peer di usare altri database come LDAP (Lightweight Directory Access Protocol) e di fornire la tecnologia OTP tramite la larghezza di banda disponibile. Tuttavia, la sostituzione può essere ottenuta solo se si utilizzano le suite di cifratura TLS che assicurano l'autenticazione del server.
Per configurare la password per una singola sessione:
- Protocollo di autenticazione: selezionare GTC (Generic Token Card).
- Credenziali utente: selezionare Chiedere ad ogni connessione.
- Alla connessione richiedi: selezionare una delle opzioni seguenti:
Nome |
Descrizione |
Password statica |
Immettere le credenziali dell'utente al momento della connessione. |
Password per una singola sessione (OTP) |
Ottenere la password da una periferica hardware token. |
PIN (soft token) |
Ottenere la password da un programma soft token. |
- Fare clic su OK.
- Selezionare il profilo nell'elenco Reti WiFi.
- Fare clic su Connetti. Quando richiesto, immettere il nome utente, il dominio e la password per una singola sessione (OTP).
- Fare clic su OK.
MS-CHAP-V2. Questo parametro specifica il protocollo di autenticazione che opera sul tunnel PEAP.
- Protocollo di autenticazione: Selezionare MS-CHAP-V2.
- Selezionare le credenziali dell'utente Usa accesso Windows, Chiedere ad ogni connessione o Usare i dati seguenti.
- Identità di roaming: un'identità di roaming può essere inserita in questo campo o è possibile utilizzare %dominio%\%nomeutente% come formato predefinito per inserire un'identità di roaming.
Quando si usa come server di autenticazione un server 802.1X Microsoft RADIUS, questo server autentica la periferica usando l'Identità di roaming del software Intel® PROSe/Wireless WiFi e ignora il Protocollo di autenticazione MS-CHAP-V2. Il server Microsoft IAS RADIUS accetta per Identità di roaming solo nomi utente validi (utente dotNet). Per tutti gli altri server di autenticazione, l'Identità di roaming è facoltativa. Per questo motivo per l'Identità di roaming si consiglia di usare l’area di autenticazione desiderata (per esempio, anonimo@miaAreaAutenticazione) invece dell'identità reale.
Passaggio 3 di 3: Server EAP-FAST
La modalità di fornitura con Autenticazione del server TLS viene supportata mediante l'uso di un certificato CA sicuro, un certificato server con generazione automatica della firma oppure con chiavi pubbliche e l'uso di GTC come metodo EAP interno.
- Selezionare uno dei seguenti metodi di recupero per le credenziali utente: Convalida il certificato del server o Specificare il nome del server o del certificato.
- Fare clic su OK per chiudere la finestra Impostazioni protezione.
Impostazioni utente EAP-FAST
Per impostare un client con autenticazione EAP-FAST:
-
Aprire lo Strumento di amministrazione.
- Dalla pagina Profilo, fare clic su Aggiungi per aprire Crea profilo WiFi, Impostazioni generali.
- Nome rete WiFi (SSID): immettere l'identificativo della rete.
- Nome profilo: immettere un nome di profilo descrittivo.
- Modalità operativa: fare clic su Rete (infrastruttura). Se si utilizza lo Strumento di amministrazione, questo parametro è impostato su Infrastruttura.
- Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune.
- Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
- Fare clic su Protezione aziendale.
- Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise.
- Crittografia dati: selezionare una delle opzioni seguenti:
- TKIP consente di definire le chiavi per pacchetto, controlla l'integrità del messaggio ed ha un meccanismo di riassegnazione delle chiavi.
- AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) è usato come metodo di crittografia ogni volta che è necessario garantire una protezione elevata dei dati. AES-CCMP è l'opzione consigliata.
- Attiva 802.1X: selezionato.
- Tipo di autenticazione: selezionare l'EAP-FAST da usare con la connessione.
- Fare clic su
per selezionare Consenti roaming veloce (CCKM) che consente alla scheda di rete WiFi client di effettuare il roaming in modo veloce e sicuro.
Passaggio 1 di 3: Impostazioni utente EAP-FAST (Impostazioni utente)
EAP-FAST usa una chiave PAC (Protected Access Credentials) per proteggere le credenziali dell'utente che vengono scambiate. Tutti gli autenticatori EAP-FAST sono identificati tramite l'identità di un'autorità (A-ID). L'autenticatore locale invia il proprio A-ID al client di autenticazione e il client ricerca un A-ID corrispondente nel proprio database. Se il client non riconosce l'A-ID, richiede una nuova PAC.
- Lasciare deselezionata l'opzione Disattiva miglioramenti EAP-FAST (CCXv4).
- Consenti preparazione con autenticazione e Consenti preparazione senza autenticazione sono entrambe selezionate.
- Server predefinito: nessuna crittografia è l'impostazione predefinita. Fare clic su Seleziona server per selezionare una PAC dal server predefinito di autorità delle PAC. Viene visualizzata la pagina di selezione Credenziali di accesso protetto.
La distribuzione della PAC può anche essere completata manualmente (fuori banda). La fornitura automatica consente di creare una PAC per un utente su un server ACS e quindi di importarla nel computer dell'utente. Il file della PAC può essere protetto tramite una password e questa password deve essere immessa dall'utente durante l'importazione della PAC.
- Per importare una PAC:
- Fare clic su Importa per importare una PAC dal server PAC.
- Fare clic su Apri.
- Digitare la password della PAC (facoltativo).
- Fare clic su OK per chiudere la pagina. La PAC selezionata viene usata per il profilo wireless.
- Fare clic su Avanti.
- Se non si tratta di un profilo di pre-accesso/comune, fare clic su Avanti e saltare al Passaggio 3 di 3: Server EAP-FAST.
- Se si tratta di un profilo di pre-accesso/comune o non si utilizza lo Strumento di amministrazione per creare questo profilo, procedere al passaggio successivo.
Passaggio 2 di 3: Ulteriori informazioni su EAP-FAST
- Protocollo di autenticazione: Selezionare MS-CHAP-V2 o GTC
- Credenziali utente: Selezionare Usa accesso Windows o Usare i dati seguenti.
- Se è stato selezionato Usare i dati seguenti, immettere Nome utente, Dominio, Password e Conferma password.
- Immettere l'identità di roaming: %DOMAIN%\%USERNAME
- Fare clic su Avanti.
Passaggio 3 di 3: Server EAP-FAST
- Se necessario, fare clic su Convalida certificato server e selezionare l'autorità di certificazione dal menu a discesa. La selezione predefinita è Qualunque CA attendibile.
- Se necessario, fare clic su Specificare il nome del server o del certificato e immettere il nome. Quindi, fare clic su Il nome server deve corrispondere esattamente alla voce specificata o Il nome del dominio deve terminare con la voce specificata. Il nome del server può contenere tutti i caratteri, inclusi i caratteri speciali.
- Fare clic su OK.