Настройка проверки подлинности PEAP-TLS для беспроводных клиентов под управлением Windows XP

Откройте диалоговое окно Свойства: новые политики беспроводных сетей XP (IEEE 802.11).

На вкладке Общие выполните следующие действия:

1. В поле Имя политики XP введите имя политики беспроводной сети.
   
   
2. В поле Описание введите описание политики.
   
   
3. В разделе Сети для доступа выберите параметр Сеть только по точке доступа (инфраструктура) или Любая доступная сеть (с точкой доступа).
   
   
4. Выберите параметр Использовать Windows для настройки параметров беспроводных сетей для клиентов.
   
   

На вкладке Предпочитаемые сети выберите команду Добавить, а затем параметр Инфраструктура. На вкладке Свойства сети выполните следующие действия:

1. В поле Сетевое имя (SSID) введите идентификатор набора служб (SSID) для данной сети.
   
   

   	Примечание
   	Введенное в этом поле значение должно совпадать со значением, настроенным в точках доступа, которые были развернуты в сети.

2. В поле Описание введите описание Свойства: новая предпочитаемая настройка.
   
   
3. В разделе Выберите методы безопасности для данной сети в поле Проверка подлинности выберите параметр WPA2 (рекомендуется) или WPA. В поле Шифрование выберите значение AES или TKIP.
   
   

   	Примечание
   	В политиках беспроводной сети (IEEE 802.11) Windows XP параметры WPA2 и WPA соответствуют параметрам WPA2-предприятие и WPA-предприятие в политиках беспроводной сети (IEEE 802.11) Windows Vista.

   	Примечание
   	При выборе параметра WPA2 становятся доступны дополнительные параметры для быстрого перемещения. Установленные по умолчанию значения параметров быстрого перемещения подходят для большей части беспроводных сетей.

Перейдите на вкладку IEEE 802.1X. В разделе Тип EAP по умолчанию выбран параметр Защищенные EAP (PEAP).

Остальные значения по умолчанию на вкладке «IEEE 802.1X» подходят для большинства беспроводных сетей.

Нажмите кнопку Настройка. В диалоговом окне Свойства защищенного EAP выполните следующие действия.

1. Выберите параметр Проверять сертификат сервера.
   
   
2. Чтобы определить RADIUS-серверы, которые будут использоваться клиентами проводного доступа для проверки подлинности и авторизации, в разделе Подключение к серверам введите имя каждого RADIUS-сервера в том же виде, в каком оно отображается в поле субъекта сертификата сервера. Имена RADIUS-серверов разделяются точкой с запятой.
   
   
3. В поле Доверенные корневые центры сертификации выберите доверенный корневой центр сертификации, который выдал сертификат сервера для сервера политики сети.
   
   

   	Примечание
   	Этот параметр ограничивает набор доверенных корневых центров сертификации, которым клиенты могут предоставить доверие. Если доверенные корневые центры сертификации не выбраны, клиенты будут доверять всем доверенным корневым центрам сертификации, которые содержатся в их хранилище доверенных корневых центров сертификации.

4. Для большего удобства и повышения безопасности выберите параметр Не запрашивать пользователя авторизовать новые серверы или доверенные центры сертификации.
   
   
5. В поле Выберите метод проверки подлинности выберите значение Смарт-карта или иной сертификат.
   
   
6. Чтобы включить быстрое переподключение PEAP, выберите параметр Включить быстрое переподключение.
   
   
7. Чтобы указать, что перед разрешением подключения к сети на клиентских компьютерах должны выполняться проверки работоспособности системы в соответствии с требованиями к работоспособности, выберите параметр Включить защиту доступа к сети.
   
   
8. Чтобы сделать обязательной привязку с шифрованием TLV, выберите пункт Отключаться, если сервер не поддерживает привязку с шифрованием через механизм TLV.
   
   
9. Чтобы отключить отправку клиентами удостоверений в текстовом формате перед проверкой подлинности на RADIUS-сервере, выберите элемент Включить удостоверение конфиденциальности и затем пункт Анонимное удостоверение, введите имя, значение или оставьте поле пустым.
   
   Например, если включен параметр Включить удостоверение конфиденциальности и в качестве анонимного удостоверения используется «гость», в качестве отклика для пользователя с удостоверением maria@realm возвращается guest@realm. Если параметр Включить удостоверение конфиденциальности включен, но значение анонимного удостоверения не предоставлено, в качестве отклика возвращается @realm.
   
   
10. Чтобы настроить свойства PEAP-TLS, нажмите кнопку Настройка, выберите элемент Свойства смарт-карты или другого сертификата и настройте следующие элементы в соответствии с требованиями:
    
    
    • В поле При подключении выберите параметр Использовать мою смарт-карту или одновременно параметры Использовать сертификат на этом компьютере и Использовать выбор простого сертификата (рек.).
      
      
    • Чтобы включить проверку сертификата сервера политики сети на клиентах доступа, установите флажок Проверять сертификат сервера.
      
      
    • Чтобы определить RADIUS-серверы, которые будут использоваться клиентами проводного доступа для проверки подлинности и авторизации, в разделе Подключение к серверам введите имя каждого RADIUS-сервера в том же виде, в каком оно отображается в поле субъекта сертификата сервера. Имена RADIUS-серверов разделяются точкой с запятой.
      
      
    • В поле Доверенные корневые центры сертификации выберите центр сертификации, который выдал сертификаты сервера для сети.
      
      
    • Чтобы использовать альтернативные имена клиентов при попытке доступа, выберите параметр Использовать для подключения другое имя пользователя.
      
      
    • Чтобы отключить вывод запросов о доверии сертификату сервера, если он неправильно настроен или не имеет доверия, установите флажок Не запрашивать пользователя авторизовать новые серверы или доверенные центры сертификации (рекомендуется).
      
      
    • Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства смарт-карты или другого сертификата. Затем еще раз нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства защищенного EAP (PEAP) и вернуться на вкладку Свойства: новые политики проводных сетей Vista.