Zpět na obsah

Konfigurace rozšířených bezdrátových připojení


Pomocí rozšířeného nastavení zabezpečení sítě Intel nakonfigurujte nastavení sítě WiFi EAP, které není k dispozici v systému Windows Vista* a Windows* 7.

Informace o různých možnostech zabezpečení bezdrátových sítí najdete v části Přehled zabezpečení.


Nastavení nového bezdrátového připojení
Konfigurace nastavení připojení Intel
Nastavení připojení s ověřováním v síti LEAP
Nastavení klienta s ověřováním v síti PEAP
Nastavení připojení s ověřováním v síti EAP-FAST
Nastavení připojení s ověřováním v síti EAP-SIM
Nastavení připojení s ověřováním v síti EAP-TTLS
Nastavení připojení s ověřováním v síti EAP-AKA


Nastavení nového bezdrátového připojení

Nastavení nového bezdrátového připojení a povolení nastavení připojení Intel:

  1. Otevřete Centrum sítí a sdílení systému Windows*. V systému Windows Vista* klepněte na položky Start > Síť > Centrum sítí a sdílení. V systému Windows* 7 klepněte na položky Start > Ovládací panely > Síť a Internet > Centrum sítí a sdílení.
  2. Klepněte na možnost Nastavit připojení nebo síť.
  3. Vyberte možnost Ručně připojit k bezdrátové síti.

připojení k bezdrátové síti

  1. Klepněte na tlačítko Další a zadejte informace o bezdrátové síti.

POZNÁMKA: Pokud jste nainstalovali aplikaci Technologie Intel® My WiFi, bude nutné zvolit bezdrátový adaptér. Vyberte možnost Intel WiFi STA.

zadání informací

  1. Síťový název: Zadejte identifikátor sítě (SSID).
  2. Typ zabezpečení: Vyberte možnost 802.1X.
  3. Typ šifrování: Výchozí nastavení je WEP.
  4. Bezpečnostní klíč nebo přístupové heslo: Není požadováno.
  5. Volitelné nastavení:
  6. Klepněte na tlačítko Další; zobrazí se potvrzení, že síť byla úspěšně přidána.

změnit nastavení

  1. Volitelné: Klepněte na možnost Změnit nastavení připojení.


Konfigurace nastavení připojení Intel

povolit nastavení

  1. Vyberte možnost Povolit nastavení připojení Intel a nakonfigurujte položky Výběr pásma, Povinný přístupový bod, Automaticky spustit aplikaci a Možnosti Cisco.
  2. Klepněte na tlačítko Konfigurovat.

nastavení připojení

  1. Na tomto panelu můžete nakonfigurovat následující parametry.

Název

Popis

Výběr pásma

Zde můžete vybrat pásmo, které má být použito pro tento profil připojení:

  • Smíšené pásmo (výchozí): Pokud vyberete tuto možnost, Nástroj pro připojení Intel® PROSet/Wireless WiFi se pokusí připojit tento profil k dostupné síti používající kterékoli ze dvou pásem.
  • Pásmo 2,4 GHz: Pokud vyberete tuto možnost, nástroj pro připojení WiFi se pokusí připojit tento profil k dostupné síti používající pouze pásmo 2,4 GHz.
  • Pásmo 5,2 GHz: Pokud vyberete tuto možnost, nástroj pro připojení WiFi se pokusí připojit tento profil k dostupné síti používající pouze pásmo 5.2 GHz.

Povinný přístupový bod

Přikazuje WiFi adaptéru, aby se připojil k přístupovému bodu pomocí konkrétní adresy MAC. Zadejte adresu MAC přístupového bodu (BSSID), 48 bitů, 12 hexadecimálních číslic. Příklad: 00:06:25:0E:9D:84.

Vymazat: Vymaže aktuální adresu.

POZNÁMKA: Tato funkce není k dispozici v provozním režimu ad hoc.

Automatické spuštění aplikace

Při každém připojení k této síti automaticky spustí dávkový soubor, spustitelný soubor nebo skript. Lze například automaticky spustit relaci virtuální privátní sítě (VPN), kdykoli se připojíte k bezdrátové síti.

  1. Klepněte na možnost Povolit automatické spuštění aplikace.
  2. Zadejte cestu a název souboru programu, který chcete spustit, nebo klepněte na tlačítko Procházet a vyhledejte soubor na pevném disku. Například C:\Program Files\myprogram\myVPNfile.exe.
  3. Klepnutím na tlačítko OK zavřete okno Nastavení připojení.

Možnosti Cisco

Povolit měření rádia: Vypne nebo zapne tuto službu. Umožňuje nakonfigurovat nastavení Cisco pro funkci Měření rádia a související služby. Výběrem této možnosti bude WiFi adaptér provádět správu bezdrátové komunikace infrastruktury Cisco. Pokud se v infrastruktuře používá nástroj Cisco Radio Management, konfiguruje parametry bezdrátové komunikace, zjišťuje rušení a neověřené přístupové body. Ve výchozí konfiguraci tato možnost není vybrána.

  1. Chcete-li přidat další zabezpečení, klepněte na kartu Zabezpečení. Otevře se okno Vlastnosti bezdrátové sítě.

vlastnosti bezdrátové sítě

  1. Typ zabezpečení: Vyberte možnost Intel - CCKM - podniky.
  2. Typ šifrování: Vyberte jednu z následujících možností:
  3. Zavřete okno klepnutím na tlačítko OK.

Nastavení připojení s ověřováním v síti LEAP

LEAP je typ ověřování pro bezdrátové sítě LAN, které podporuje silné vzájemné ověřování mezi klientem a serverovým systémem pomocí přihlašovacího hesla jako sdíleného tajného klíče. Poskytuje dynamické šifrovací klíče pro jednoho uživatele a jednu relaci. Ověřování Cisco LEAP poskytuje:


Nastavení ověřování v síti LEAP

  1. V okně Vlastnosti bezdrátové sítě na kartě Zabezpečení v seznamu Typ zabezpečení vyberte možnost WPA - podniky, WPA2 - podniky, 802.1X nebo Intel - CCKM - podniky.
  2. V seznamu Typ šifrování vyberte požadované šifrování.
  3. V části Vyberte metodu ověření v síti vyberte možnost LEAP.
  4. Klepněte na položku Nastavení.

Konfigurace síťových pověření

  1. Vyberte kartu Síťová pověření. Nakonfigurujte uživatelské jméno a heslo výběrem jedné z následujících možností:
  1. Klepnutím na tlačítko OK uložte nastavení a zavřete dialogové okno Vlastnosti ověřování LEAP.

Nastavení klienta s ověřováním v síti PEAP

PEAP je typ ověřování pro bezdrátové sítě LAN. Ověřování PEAP poskytuje vysoké zabezpečení, rozšiřitelnost databáze uživatelů a podporu jednorázového ověřování pomocí tokenu, změnu hesla a dobu platnosti hesla. Ověřování PEAP je založeno na ověřování EAP-TLS na straně serveru. Pomocí ověřování PEAP se mohou organizace vyhnout problémům souvisejícím s instalací digitálních certifikátů na každý klientský počítač, což vyžaduje protokol EAP-TLS; místo toho mohou vybrat metody ověřování klientů, například přihlašovací hesla nebo jednorázová hesla (OTP), podle potřeb společnosti. Klient Cisco PEAP také umožňuje skrýt identifikační uživatelské jméno, dokud není vytvořen šifrovaný tunel TLS. Tím je dále zvýšena ochrana důvěrných údajů, protože uživatelská jména nejsou přenášena během fáze ověřování. Ověřování PEAP poskytuje následující výhody zabezpečení:


Nastavení ověřování PEAP

  1. V okně Vlastnosti bezdrátové sítě na kartě Zabezpečení v seznamu Typ zabezpečení vyberte možnost WPA - podniky, WPA2 - podniky, 802.1X nebo Intel - CCKM - podniky.
  2. V seznamu Typ šifrování vyberte požadované šifrování.
  3. V části Vyberte metodu ověření v síti vyberte možnost Cisco: PEAP.
  4. Klepněte na položku Nastavení.

Konfigurace pověření uživatele

  1. Vyberte kartu Pověření uživatele. Nakonfigurujte uživatelské jméno a heslo výběrem jedné z následujících možností:
  1. Vyberte kartu Připojení a nastavte konfiguraci na této kartě nebo klepnutím na tlačítko OK uložte nastavení a zavřete dialogové okno Vlastnosti ověřování PEAP.

Konfigurace připojení

Kartu Připojení použijte k nakonfigurování nastavení, které řídí navazování připojení.

  1. Vyberte kartu Připojení.
  2. Pokud chcete povolit ochranu osobních údajů identity, zaškrtněte políčko Použít anonymní vnější identitu.
  3. Zadejte do pole vnější identitu. Tato identita bude použita jako vnější identita v odpovědi na žádost o identitu EAP. Výchozí hodnota je „anonymous“; zjistěte u správce, zda je třeba tuto hodnotu změnit. (Můžete zadat nejvýše 256 znaků.)
  4. Pokud k vytvoření tunelu používáte ověřený certifikát serveru, zaškrtněte políčko Ověřit certifikát serveru.
  5. Chcete-li zadat volitelný název serveru, který musí odpovídat certifikátu serveru předloženému serverem, zaškrtněte políčko Připojovat jen k těmto serverům a zadejte do pole název serveru. Chcete-li zadat více názvů serverů, oddělte je středníkem.

POZNÁMKA: Ověřování PEAP povolí pokračování připojení jen v případě, že pole Běžný název a Alternativní název subjektu v certifikátu serveru odpovídají některému ze zadaných názvů serverů.

  1. Chcete-li vybrat certifikát důvěryhodného kořenového certifikačního úřadu (CA), který bude použit k ověření certifikátu serveru, zaškrtněte důvěryhodný certifikát nebo certifikáty v poli Důvěryhodný kořenový certifikační úřad (CA).

POZNÁMKA: V rozevíracím seznamu jsou zobrazeny jen certifikáty důvěryhodných certifikačních úřadů, které jsou nainstalovány v hostitelském systému. Poklepáním na certifikát důvěryhodného kořenového certifikačního úřadu zobrazíte podrobnosti certifikátu.

  1. Pokud zaškrtnete políčko Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů, určíte, že pokud název serveru neodpovídá, nebo pokud certifikát serveru není podepsán některým z vybraných důvěryhodných certifikačních úřadů, uživatel nebude vyzván k autorizaci připojení. Ověření se místo toho nezdaří.
  2. Chcete-li povolit rychlé obnovení připojení, zaškrtněte políčko Povolit rychlé obnovení připojení.
  3. Klepnutím na tlačítko OK uložte nastavení a zavřete dialogové okno Vlastnosti ověřování PEAP.

Nastavení připojení s ověřováním v síti EAP-FAST

EAP-FAST je veřejně dostupný typ protokolu EAP vyvinutý společností Cisco Systems. K dispozici je několik protokolů EAP, které lze zavést v kabelových i bezdrátových sítích. Nejčastěji používané protokoly EAP jsou Cisco LEAP, PEAP a EAP-TLS. Kromě těchto protokolů společnost Cisco vyvinula a implementovala protokol EAP-FAST jako standardizovaný protokol EAP, které lze zavést v kabelových i bezdrátových sítích LAN. Hlavní funkce protokolu EAP-FAST:

Tato implementace ověřování EAP-FAST dále podporuje:


Nastavení ověřování EAP-FAST

  1. V okně Vlastnosti bezdrátové sítě na kartě Zabezpečení v seznamu Typ zabezpečení vyberte možnost WPA - podniky, WPA2 - podniky, 802.1X nebo Intel - CCKM - podniky.
  2. V seznamu Typ šifrování vyberte požadované šifrování.
  3. V části Vyberte metodu ověření v síti vyberte možnost EAP-FAST.
  4. Klepněte na položku Nastavení.

Konfigurace pověření uživatele

  1. Vyberte kartu Pověření uživatele. Nakonfigurujte uživatelské jméno a heslo výběrem jedné z následujících možností:
  1. Vyberte kartu Připojení a nastavte konfiguraci na této kartě nebo klepnutím na tlačítko OK uložte nastavení a zavřete dialogové okno Vlastnosti ověřování PEAP-GTC.

Konfigurace nastavení připojení

Kartu Připojení použijte k nakonfigurování nastavení, které řídí navazování připojení.

  1. Pokud chcete povolit ochranu osobních údajů identity, zaškrtněte na kartě Připojení políčko Použít anonymní vnější identitu.
  2. Zadejte do pole vnější identitu. Tato identita bude použita jako vnější identita v odpovědi na žádost o identitu EAP. Výchozí hodnota je „anonymous“; zjistěte u správce, zda je třeba tuto hodnotu změnit. (Nejvýše 256 znaků.)
  3. Pokud k vytvoření tunelu používáte pověření PAC, zaškrtněte políčko Použít certifikát PAC (Protected Access Credentials). Jestliže toto políčko nezaškrtnete, bude se ověřování EAP-FAST chovat jako ověřování PEAP a k vytvoření tunelu bude pokaždé použit jen ověřený certifikát serveru.
  4. Chcete-li povolit automatické načtení pověření PAC během ověřování EAP-FAST, zaškrtněte políčko Povolit automatické zajišťování pověření PAC.
  5. (Volitelné) V rozevíracím seznamu Certifikační úřad PAC vyberte certifikační úřad PAC nebo klepnutím na tlačítko Importovat... naimportujte soubor PAC.

POZNÁMKA: Rozevírací seznam obsahuje názvy všech certifikačních úřadů PAC, od kterých bylo již dříve zajištěno tunelové pověření PAC. Pokud jste dosud nezajistili pověření PAC, je k dispozici pouze možnost Žádný. Výběrem možnosti Žádný také můžete vynutit, aby hostitel požádal o zajištění pověření PAC.

  1. Pokud k vytvoření tunelu používáte ověřený certifikát serveru, zaškrtněte políčko Ověřit certifikát serveru.

POZNÁMKA: K vytvoření tunelu můžete použít políčko Použít certifikát PAC (Protected Access Credentials) i Ověřit certifikát serveru. V tom případě se ověřování EAP-FAST vždy pokusí použít nejprve pověření PAC; pokud toto pověření PAC chybí nebo je serverem odmítnuto, ověřování EAP-FAST použije certifikát serveru.

  1. Chcete-li zadat volitelný název serveru, který musí odpovídat certifikátu serveru předloženému serverem, zaškrtněte políčko Připojovat jen k těmto serverům a zadejte do pole název serveru. Více názvů serverů oddělte středníkem.

POZNÁMKA: Ověřování EAP-FAST povolí pokračování připojení jen v případě, že pole subjektu v certifikátu serveru odpovídá některému ze zadaných názvů serverů.

  1. Vyberte v seznamu Důvěryhodný kořenový certifikační úřad (CA) certifikát důvěryhodného kořenového certifikačního úřadu (CA), který bude použit k ověření certifikátu serveru. V rozevíracím seznamu jsou zobrazeny jen certifikáty důvěryhodných certifikačních úřadů, které jsou nainstalovány v hostitelském systému. Můžete vybrat více důvěryhodných kořenových certifikačních úřadů. Poklepáním na certifikát důvěryhodného kořenového certifikačního úřadu zobrazíte podrobnosti certifikátu.
  2. Pokud zaškrtnete políčko Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů, určíte, že pokud název serveru neodpovídá, nebo pokud certifikát serveru není podepsán některým z vybraných důvěryhodných certifikačních úřadů, uživatel nebude vyzván k autorizaci připojení. Ověření se místo toho nezdaří.
  3. Vyberte další kartu, kterou chcete nakonfigurovat, nebo klepnutím na tlačítko OK uložte nastavení a zavřete dialogové okno Vlastnosti ověřování EAP-FAST.

Konfigurace nastavení ověřování

Na kartě Ověřování nakonfigurujte nastavení ověřování.

  1. Na kartě Ověřování vyberte v rozevíracím seznamu metodu ověřování. Vyberte jednu z následujících metod:
  1. Chcete-li povolit pokračování relace, zaškrtněte políčko Povolit rychlé obnovení připojení.
  2. Chcete-li povolit dotazování na informace o stavu hostitelského počítače, zaškrtněte políčko Povolit ověření stavu.
  3. Vyberte další kartu, kterou chcete nakonfigurovat, nebo klepnutím na tlačítko OK uložte nastavení a zavřete dialogové okno Vlastnosti ověřování EAP-FAST.

Nastavení připojení s ověřováním v síti EAP-SIM

Ověřování EAP-SIM používá k šifrování dat dynamický relační klíč WEP, který je odvozen od klientského adaptéru a serveru RADIUS. Šifrování EAP-SIM vyžaduje ke komunikaci s kartou SIM (Subscriber Identity Module) zadání kódu ověření uživatele (PIN). Karta SIM je speciální karta Smart používaná digitálními mobilními sítěmi standardu GSM (Global System for Mobile Communications).

POZNÁMKA: Při vytváření profilu správce pro systém Windows Vista nebo Windows* 7, který používá ověřování EAP-SIM, není k dispozici typ ověřování v síti Sdílené. Dále nelze vytvářet trvalé profily správce s ověřování EAP-SIM.

POZNÁMKA: Pokud je při vytváření profilu správce pro systém Windows Vista nebo Windows* 7 nastaveno otevřené ověřování v síti, šifrování dat je pevně nastaveno na možnost WEP.


Nastavení ověřování EAP-SIM

  1. V okně Vlastnosti bezdrátové sítě na kartě Zabezpečení v seznamu Typ zabezpečení vyberte možnost WPA - podniky, WPA2 - podniky, 802.1X nebo Intel - CCKM - podniky.
  1. V seznamu Typ šifrování vyberte požadované šifrování.
  2. V části Vyberte metodu ověření v síti vyberte možnost EAP-SIM.
  3. Klepněte na položku Nastavení.
  4. Na panelu níže zaškrtněte políčko Zadat uživatelské jméno (identitu), aby bylo možné zadat uživatelské jméno.
  5. Uživatelské jméno Zadejte uživatelské jméno přiřazené kartě SIM.
  6. Klepněte na tlačítko OK.

uživatel eap-sim


Nastavení připojení s ověřováním v síti EAP-TTLS

Ověřování TTLS: Toto nastavení definuje protokol a identifikační informace použité k ověření uživatele. Klient používá protokol EAP-TLS k ověření serveru a vytvoření kanálu se šifrováním TLS mezi klientem a serverem. Klient může použít jiný ověřovací protokol. Protokoly založené na heslu typicky odesílají dotazy tímto šifrovaným kanálem a umožňují tak ověření serveru. Balíčky s dotazem a odpovědí jsou odesílány šifrovaným neveřejným kanálem TLS. Současné implementace ověřování TTLS podporují všechny metody definované protokolem EAP.

Ověřovací protokoly


Nastavení ověřování v síti EAP-TTLS

Krok 1 ze 2: Uživatel TTLS

Nastavení připojení s ověřováním EAP-TTLS:

  1. V okně Vlastnosti bezdrátové sítě na kartě Zabezpečení v seznamu Typ zabezpečení vyberte možnost WPA - podniky, WPA2 - podniky, 802.1X nebo Intel - CCKM - podniky.
  2. V seznamu Typ šifrování vyberte požadované šifrování.
  3. V části Vyberte metodu ověření v síti: Vyberte možnost EAP-TTLS.

  1. Klepněte na položku Nastavení.

  1. Protokol pro ověřování: Tento parametr určuje protokol pro ověřování, který funguje v tunelu TTLS. Jedná se o tyto protokoly: PAP (výchozí), CHAP, MS-CHAP a MS-CHAP-V2. Další informace najdete v části Přehled zabezpečení.
  2. Pověření uživatele: Vyberte možnost Zobrazit výzvu při každém připojení, Použít následující nebo Použít přihlášení systému Windows.

Název

Popis

Zobrazit výzvu při každém připojení

Před připojením k bezdrátové síti bude uživatel vyzván k zadání uživatelského jména a hesla. Uživatelské jméno a heslo musí předem nastavit správce na ověřovacím serveru.

Použít následující

Uživatelské jméno a heslo jsou bezpečně (šifrovaně) uloženy do profilu.

  • Uživatelské jméno: Toto uživatelské jméno musí být totožné s uživatelským jménem nastaveným na ověřovacím serveru.

  • Doména: Název domény ověřovacího serveru. Název serveru označuje doménu nebo některou její poddoménu (například zeelans.com, kde server je blueberry.zeelans.com). Název domény vám sdělí správce.

  • Heslo: Toto heslo musí odpovídat heslu nastavenému na ověřovacím serveru. Zadané znaky hesla se zobrazí jako hvězdičky.

  • Potvrzení hesla: Zadejte heslo uživatele znovu.

Použít přihlášení systému Windows

Použije přihlašovací parametry systému Windows a uživatel nebude vyzván k zadání dalších informací.

  1. Identita pro roaming: Není-li políčko Identita pro roaming zaškrtnuto, je jako výchozí použita identita %domain%\%username%.

Používáte-li server 802.1X MS RADIUS jako ověřovací, tento server ověřuje zařízení pomocí uživatelského jména Identita pro roaming nástroje pro připojení WiFi a ignoruje uživatelské jméno Protokol pro ověřování MS-CHAP-V2. Tato funkce je identita 802.1X dodaná ověřovateli. Pro klienty EAP přijímá server Microsoft IAS RADIUS pouze platné uživatelské jméno (uživatel dotNet). Používáte-li server 802.1X MS RADIUS, zadejte platné uživatelské jméno. V případě ostatních serverů není toto pole povinné. Z tohoto důvodu doporučujeme nepoužívat skutečnou identitu, ale požadovanou sféru (například anonym@sfera).

Krok 2 ze 2: Server TTLS

  1. Vyberte jednu z následujících možností:

Název

Popis

Ověřit certifikát serveru

Vydavatel certifikátu: Certifikát serveru přijatý během výměny zpráv TTLS musí být vystaven tímto certifikačním úřadem. Vybrat lze důvěryhodné zprostředkované certifikační úřady a kořenové úřady, jejichž certifikáty existují v systémovém úložišti. Vyberete-li možnost Jakýkoli důvěryhodný certifikační úřad, je přijatelný libovolný úřad v seznamu.

Zadat název serveru nebo certifikátu

Název serveru nebo certifikátu: Zadejte název serveru.

Název serveru nebo doména, do které server patří, závisí na tom, která z následujících možností byla vybrána:

  • Název serveru se musí přesně shodovat s uvedeným zadáním: Vyberte-li tuto možnost, musí název serveru přesně odpovídat názvu serveru uvedenému v certifikátu. Název serveru musí obsahovat úplný název domény (například název_serveru.název_domény). Název serveru může obsahovat všechny znaky včetně speciálních.

  • Název domény musí končit uvedeným zadáním: Vyberte-li tuto možnost, název serveru označuje doménu a certifikát musí mít název serveru, který patří do této domény nebo do některé poddomény (například zeelans.com, kde server je blueberry.zeelans.com). Tyto parametry získáte od správce.

  1. Klepnutím na tlačítko OK uložíte nastavení a zavřete stránku.

Nastavení připojení s ověřováním v síti EAP-AKA

EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) je mechanismus EAP pro ověřování a distribuci klíče relace, který používá kartu USIM (Subscriber Identity Module) systému UMTS (Universal Mobile Telecommunications System). Karta USIM je speciální karta Smart používaná mobilními sítěmi k ověření daného uživatele v síti.


Nastavení ověřování EAP-AKA

  1. V okně Vlastnosti bezdrátové sítě na kartě Zabezpečení v seznamu Typ zabezpečení vyberte možnost WPA - podniky, WPA2 - podniky, 802.1X nebo Intel - CCKM - podniky.
  2. V seznamu Typ šifrování vyberte požadované šifrování.
  3. V části Vyberte metodu ověření v síti: Vyberte možnost EAP-AKA.

  1. Klepněte na položku Nastavení.

  1. Zadat uživatelské jméno (identitu): Klepnutím zadejte uživatelské jméno.
  2. Uživatelské jméno: Zadejte uživatelské jméno přiřazené kartě USIM.
  3. Klepněte na tlačítko OK.

Zpět na začátek

Zpět na obsah

Ochranné známky a právní dodatky