К содержанию

Конфигурация профилей для режима работы сети (Infrastructure)

Сеть типа "Infrastructure" состоит из одной или нескольких точек доступа и одного или нескольких компьютеров с установленными адаптерами сети WiFi. Каждая точка доступа должна иметь проводное соединение с сетью WiFi. В этом разделе рассказывается о создании различных профилей WiFi.

Создание профиля Windows XP* без аутентификации или шифрования данных (нет)

Внимание! Сети, не использующие аутентификации или шифрования, особенно уязвимы в отношении доступа неавторизованных пользователей.

Для создания профиля для подключения к сети WiFi без шифрования:

  1. Щелкните Профили в главном окне утилиты подключений Intel(R) PROSet/Wireless WiFi. Если у вас есть административные права, откройте программу Администратор.
  2. На странице или вкладке "Профили" щелкните Добавить для открытия страницы Общие настройки мастера создания профилей WiFi.
  3. Имя профиля: Введите описательное имя.
  4. Имя сети WiFi (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure). (Этот параметр предназначен для установки режима Infrastructure, если используется программа Администратор).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Проверка подлинности сети: Открытая - (выбрано).

Открытая аутентификация позволяет доступ беспроводных устройств к сети без аутентификации спецификации 802.11. Если в сети не требуется шифрование данных, любое беспроводное устройство, имеющее допустимое сетевое имя (SSID), может подключиться к точке доступа для входа в сеть.

  1. Шифрование данных: Нет - установлено по умолчанию.
  2. Щелкните OK. Теперь профиль добавлен в список профилей и может использоваться для подключения к сети.

Создание профиля Windows XP* с общей сетевой аутентификацией

С использованием общего ключа аутентификации каждая станция обязана получить секретный общий ключ через защищенный канал, который независим от коммуникационного канала беспроводной сети 802.11. Для аутентификации по общему ключу необходимо, чтобы клиент сконфигурировал статический WEP- или CKIP-ключ. Клиент получит доступ к сети только в случае, если он выполнит предложенную процедуру аутентификации. CKIP обеспечивает более надежное шифрование данных, в сравнении с WEP, однако данную систему поддерживают не все операционные системы и точки доступа.

ПРИМЕЧАНИЕ. Общий ключ может показаться лучшим способом для повышенного уровня защиты, однако существует известная проблема уязвимости, так как секретный код передается клиенту в виде открытого текста. В случае несанкционированного поиска контрольной строки, можно легко сгенерировать новый общий ключ аутентификации. Поэтому, открытая аутентификация (с шифрованием данных) считается более защищенной.

Для создания профиля с настройкой общей аутентификации:

  1. Выберите параметр Профили в главном окне утилиты подключений WiFi. Если у вас есть административные права, откройте программу Администратор.
  2. На странице или вкладке "Профили" щелкните Добавить для открытия страницы Общие настройки мастера создания профилей WiFi.
  3. Имя профиля: Введите описательное имя.
  4. Имя сети WiFi (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure). (Этот параметр предназначен для установки режима Infrastructure, если используется программа Администратор).
  6. Тип профиля администратора: Выберите Постоянный или Предв./общий (Предварительный/общий). (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите Общая. Общая аутентификация выполняется с предварительно сконфигурированным WEP-ключом.
  10. Шифрование данных: Выберите "Нет", WEP (64 или 128 бит) или CKIP (64 или 128 бит).
  11. Включить 802.1X: Выключено.
  12. Уровень шифрования: 64 или 128 бит: При переключении между 64- и 128-битным шифрованием предыдущие настройки удаляются, и нужно ввести новый ключ.
  13. Индекс ключа: Выберите 1, 2, 3 или 4. При изменении индекса ключа может быть указано до четырех паролей.
  14. Пароль защиты (ключ шифрования): Введите пароль сетевой защиты (ключ шифрования). Этот пароль должен быть идентичен паролю, используемому точкой доступа или беспроводным маршрутизатором. За паролем обратитесь к администратору беспроводной сети.

Создание профиля Windows XP* с сетевой аутентификацией WPA-персональная или WPA2-персональная

Стандарт Wi-Fi Protected Access (WPA) - усовершенствованный стандарт безопасности, который значительно поднимает уровень защищенности и управления доступом к данным беспроводных локальных сетей. WPA-персональная аутентификация активизирует обмен ключами и может работать только с динамическими ключами шифрования. Если ваша беспроводная точка доступа или маршрутизатор поддерживают WPA- или WPA2-персональную аутентификацию, тогда вы должны использовать ее в точке доступа, а также назначить длинный и надежный пароль. Для персональных или домашних сетей без серверов RADIUS или AAA, используйте WPA-персональную аутентификацию.

ПРИМЕЧАНИЕ. WPA- и WPA2-персональная совместимы друг с другом.

Некоторые решения по обеспечению безопасности могут не поддерживаться операционной системой компьютера, и поэтому, может потребоваться установка дополнительного программного обеспечения или оборудования, а также поддержка инфраструктуры беспроводной локальной сети. За информацией обратитесь к производителю своего компьютера.

Для добавления профиля с WPA-персональной или WPA2-персональной сетевой аутентификацией:

  1. Выберите параметр Профили в главном окне утилиты подключений WiFi. Если у вас есть административные права, откройте программу Администратор.
  2. На странице или вкладке "Профили" щелкните Добавить для открытия страницы Общие настройки мастера создания профилей WiFi.
  3. Имя профиля: Введите описательное имя.
  4. Имя сети WiFi (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure). (Этот параметр предназначен для установки режима Infrastructure, если используется программа Администратор).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA- или WPA2-персональная. См. раздел Обзор возможностей защиты.
  10. Шифрование данных: Выберите TKIP или AES-CCMP.
  11. Пароль: Введите текстовую фразу от 8 до 63 символов. Чем больше длина используемого пароля, тем надежнее защита беспроводной сети. Этот пароль должен использоваться в этом компьютере и во всех беспроводных устройствах сети для подключения к этой точке доступа.

Создание профиля Windows XP* с сетевой аутентификацией WPA-предприятие или WPA2-предприятие

Для защиты "WPA2-предприятие" необходима аутентификация в сервере.

ПРИМЕЧАНИЕ. WPA- и WPA2-предприятие совместимы друг с другом.

Для добавления профиля, использующего аутентификацию WPA-предприятие или WPA2-предприятие:

  1. Перед тем, как начать, вы должны получить у системного администратора имя пользователя и пароль в сервере RADIUS.
  2. Некоторые типы аутентификации требуют получения и установки сертификата клиента. Дополнительную информацию см. в разделе Создание профиля с аутентификацией TLS или обратитесь за помощью к системному администратору.
  3. Выберите параметр Профили в главном окне утилиты подключений WiFi. Если у вас есть административные права, откройте программу Администратор.
  4. На странице "Профили" щелкните Добавить для открытия страницы Общие настройки мастера создания профилей WiFi.
  5. Имя профиля: Введите описательное имя.
  6. Имя сети WiFi (SSID): Введите идентификатор сети.
  7. Режим работы: Щелкните Сеть (Infrastructure). (Этот параметр предназначен для установки режима Infrastructure, если используется программа Администратор).
  8. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  9. Нажмите Далее для открытия страницы Настройки защиты.
  10. Щелкните Корпоративная защита.
  11. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие.
  12. Шифрование данных: Выберите TKIP или AES-CCMP.
  13. Включить 802.1X: Установлено по умолчанию.
  14. Тип аутентификации: Выберите одно из следующих: EAP-SIM, LEAP, TLS, TTLS, PEAP или EAP-FAST.

Конфигурация сетевого профиля с типами аутентификации 802.1x

Создание профиля Windows XP* с WEP-шифрованием и сетевой аутентификацией EAP-SIM

Аутентификация EAP-SIM использует динамический WEP-ключ, созданный специально для сеанса, полученный для шифрования данных от адаптера клиента или сервера RADIUS. Для EAP-SIM необходим специальный код проверки пользователя или PIN для обеспечения взаимодействия с SIM-картой (Subscriber Identity Module). SIM-карта - это специальная смарт-карта, которая используется в беспроводных цифровых сетях стандарта GSM (Global System for Mobile Communications).

Для добавления профиля с EAP-SIM-аутентификацией:

  1. Выберите параметр Профили в главном окне утилиты подключений WiFi. Если у вас есть административные права, откройте программу Администратор.
  2. На странице "Профили" щелкните Добавить для открытия страницы Общие настройки мастера создания профилей WiFi.
  3. Имя профиля: Введите имя профиля.
  4. Имя сети WiFi (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure). (Этот параметр предназначен для установки режима Infrastructure, если используется программа Администратор).
  6. Тип профиля администратора: Выберите Предварительное/общее подключение. (Это действие возможно только в случае использования программы Администратор. EAP-SIM-аутентификация не может использоваться с постоянными профилями).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите Открытая (рекомендуется).
  10. Шифрование данных: Выберите WEP.
  11. Щелкните Включить 802.1X.
  12. Тип аутентификации: Выберите EAP-SIM.

EAP-SIM-аутентификация может использоваться со следующим:

Пользователь EAP-SIM (необязательный параметр)

  1. Щелкните Указывать имя пользователя (идентификация):
  2. Для поля Имя пользователя: Введите имя пользователя, назначенное SIM-карте.
  3. Щелкните OK.

Создание профиля Windows XP* с сетевой аутентификацией EAP-AKA

Метод аутентификации EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) - это механизм EAP, используемый для аутентификации и сеанса распространения ключей, используемый подписчиком модуля идентификации USIM (Subscriber Identity Module) универсальной мобильной телекоммуникационной системы UMTS (Universal Mobile Telecommunications System). Карта USIM - это специальная смарт-карта, предназначенная для проверки подлинности пользователей в сотовых сетях.

EAP-AKA-аутентификация может использоваться со следующим:

В аутентификации EAP-AKA используется защита уровня предприятия, а для уровня предприятия может использоваться открытая защита, защита WPA-предприятие или WPA2-предприятие.

Для добавления профиля с EAP-AKA-аутентификацией:

  1. Выберите параметр Профили в главном окне утилиты подключений WiFi. Если у вас есть административные права, откройте программу Администратор.
  2. На странице "Профили" щелкните Добавить для открытия страницы Общие настройки мастера создания профилей WiFi.
  3. Имя профиля: Введите имя профиля.
  4. Имя сети WiFi (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure). (Этот параметр предназначен для установки режима Infrastructure, если используется программа Администратор).
  6. Тип профиля администратора: Выберите Предварительное/общее подключение. (Это действие возможно только в случае использования программы Администратор. EAP-SIM-аутентификация не может использоваться с постоянными профилями).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите Открытая, WPA-предприятие или WPA2-предприятие.
  10. Шифрование данных: Выберите WEP или CKIP для открытой аутентификации, TKIP или AES-CCMP для аутентификации уровня предприятия.
  11. Щелкните параметр Включить 802.1X, если он еще не выбран.
  12. Тип аутентификации: Выберите EAP-AKA.

Пользователь EAP-AKA (необязательный параметр)

  1. Щелкните Указывать имя пользователя (идентификация):
  2. Для поля Имя пользователя: Введите имя пользователя, назначенное USIM-карте.
  3. Щелкните OK.

Создание профиля Windows XP* с сетевой аутентификацией TLS

Эти настройки определяют протокол и идентификационную информацию, используемую для аутентификации пользователя. TLS-аутентификация (Transport Layer Security) - это метод двухсторонней аутентификации, который эксклюзивно использует цифровые сертификаты для проверки идентификации клиента и сервера.

Для добавления профиля с настройкой аутентификации TLS:

  1. Выберите параметр Профили в главном окне утилиты подключений WiFi. Если у вас есть административные права, откройте программу Администратор.
  2. На странице "Профили" щелкните Добавить для открытия страницы Общие настройки мастера создания профилей WiFi.
  3. Имя профиля: Введите описательное имя.
  4. Имя сети WiFi (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure). (Этот параметр предназначен для установки режима Infrastructure, если используется программа Администратор).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие (рекомендуется).
  10. Шифрование данных: Выберите AES-CCMP (рекомендуется).
  11. Включить 802.1X: Установлено по умолчанию.
  12. Тип аутентификации: Выберите TLS для использования с этим подключением.

Действие 1 из 2. Пользователь TLS

  1. Получите и установите сертификат клиента. Дополнительную информацию см. в разделе Создание профиля с аутентификацией TLS или обратитесь за помощью к системному администратору.
  2. Выберите одно из следующих действий для получения сертификата: Использовать смарт-карту, Использовать сертификат, выданный для этого компьютера или Использовать сертификат пользователя в этом компьютере.
  3. Нажмите Далее для открытия страницы настроек Сервер TLS .

Действие 2 из 2. Сервер TLS

  1. Выберите один из следующих методов запроса идентификации: Проверить сертификат сервера или Указать имя сервера/сертификат.
  2. Щелкните OK. Профиль будет добавлен в список профилей.
  3. Выберите новый профиль в конце списка "Профили". Используйте клавиши со стрелками вверх и вниз для установки приоритета нового профиля в списке приоритетов.
  4. Нажмите кнопку Подключить для подключения к выбранной беспроводной сети.
  5. Щелкните OK для закрытия программы Intel PROSet/Wireless WiFi.

Создание профиля Windows XP* с сетевой аутентификацией TTLS

Аутентификация TTLS: Ее настройки определяют протокол и идентификационную информацию, используемую для аутентификации пользователя. Клиент использует EAP-TLS для проверки подлинности сервера и создания канала между сервером и клиентом, шифрованного с помощью TLS. Клиент может использовать другой аутентификационный протокол. Обычно протоколы на основе паролей используются через необъявляемый, защищенный TLS-шифрованный канал.

Чтобы настроить клиента с аутентификацией TTLS:

  1. Выберите параметр Профили в главном окне утилиты подключений WiFi. Если у вас есть административные права, откройте программу Администратор.
  2. На странице "Профили" щелкните Добавить для открытия страницы Общие настройки мастера создания профилей WiFi.
  3. Имя профиля: Введите описательное имя.
  4. Имя сети WiFi (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure). (Этот параметр предназначен для установки режима Infrastructure, если используется программа Администратор).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие (рекомендуется).
  10. Шифрование данных: Выберите TKIP или AES-CCMP (рекомендуется).
  11. Включить 802.1X: Установлено по умолчанию.
  12. Тип аутентификации: Выберите TTLS для использования с этим подключением.

Действие 1 из 2. Пользователь TTLS

  1. Протокол аутентификации: Этот параметр определяет протокол аутентификации, работающий через туннель TTLS. Используемые протоколы: PAP (по умолчанию), CHAP, MS-CHAP и MS-CHAP-V2. Дополнительную информацию см. в разделе Обзор возможностей защиты.
  2. Идентификационная информация пользователя: Для протоколов PAP, CHAP, MS-CHAP и MS-CHAP-V2 выберите один из следующих методов аутентификации: Использовать вход Windows, Запрашивать при каждом подключении или Использовать следующее.
  3. Идентификация роуминга: В этом поле может быть указана идентификация роуминга или имя %domain%\%username% в качестве формата по умолчанию для ввода идентификации.

Когда используется сервер аутентификации 802.1X Microsoft IAS RADIUS, он выполняет аутентификацию устройства, используя для этого идентификацию роуминга в программе Intel PROSet/Wireless WiFi, и игнорирует имя пользователя аутентификационного протокола MS-CHAP-V2. Сервер Microsoft IAS RADIUS принимает только допустимые имена пользователей (пользователи dotNet) для идентификации роуминга. Для всех других серверов аутентификации идентификация роуминга необязательна. Поэтому, для идентификации роуминга рекомендуется вместо истинных имен использовать образные имена (например, anonymous@myrealm).

  1. Нажмите Далее для открытия страницы настроек "Сервер TTLS".

Действие 2 из 2. Сервер TTLS

  1. Выберите один из следующих методов запроса идентификации: Проверить сертификат сервера или Указать имя сервера/сертификат.
  2. Щелкните OK для сохранения настроек и закрытия страницы.

Создание профиля Windows XP* с сетевой аутентификацией PEAP

Аутентификация PEAP. Настройки PEAP-аутентификации необходимы для установления подлинности клиента в сервере аутентификации. Клиент использует EAP-TLS для проверки подлинности сервера и создания канала между сервером и клиентом, шифрованного с помощью TLS. Клиент может использовать другой аутентификационный механизм EAP, например, Microsoft Challenge Authentication Protocol (MS-CHAP) версии 2 через шифрованный канал для проверки подлинности сервера. Пакеты запросов и ответов отправляются через защищенный, TLS-шифрованный канал. В следующем примере показано, как использовать WPA с AES-CCMP- или TKIP-шифрованием, использующим PEAP-аутентификацию.

Чтобы настроить клиента с аутентификацией PEAP: Получите и установите сертификат клиента. Дополнительную информацию см. в разделе Создание профиля Windows XP* с аутентификацией TLS или обратитесь за помощью к системному администратору.

  1. Выберите параметр Профили в главном окне утилиты подключений WiFi. Если у вас есть административные права, откройте программу Администратор.
  2. На странице "Профили" щелкните Добавить для открытия страницы Общие настройки мастера создания профилей WiFi.
  3. Имя профиля: Введите описательное имя.
  4. Имя сети WiFi (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure). (Этот параметр предназначен для установки режима Infrastructure, если используется программа Администратор).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие (рекомендуется).
  10. Шифрование данных: Выберите одно из следующих: Рекомендуется AES-CCMP.
  11. Включить 802.1X: Установлено по умолчанию.
  12. Тип аутентификации: Выберите PEAP для использования с этим подключением.

Действие 1 из 2. Пользователь PEAP

Протокол PEAP работает с защитой Transport Layer Security (TLS) для разрешения использования типов нешифрованной аутентификации, например, EAP-Generic Token Card (GTC) и поддержки One-Time Password (одноразовый пароль - OTP).

  1. Протокол аутентификации: Выберите GTC, MS-CHAP-V2 (по умолчанию) или TLS. См. раздел Протоколы аутентификации.
  2. Идентификационная информация пользователя: Для GTC или MS-CHAP-V2 выберите одно из следующих: Использовать вход Windows, Запрашивать при каждом подключении или Использовать следующее. Для TLS выберите Использовать смарт-карту, Использовать сертификат, выданный для этого компьютера или Использовать сертификат пользователя в этом компьютере. (Если вы создаете профиль администратора, тогда будет доступен только параметр "Использовать сертификат, выданный для этого компьютера").
  3. Идентификация роуминга: В этом поле может быть указана идентификация роуминга или имя %domain%\%username% в качестве формата по умолчанию для ввода идентификации.

Когда используется сервер аутентификации 802.1X Microsoft IAS RADIUS, он выполняет аутентификацию устройства, используя для этого идентификацию роуминга в программе Intel PROSet/Wireless WiFi, и игнорирует имя пользователя аутентификационного протокола MS-CHAP-V2. Сервер Microsoft IAS RADIUS принимает только допустимые имена пользователей (пользователи dotNet) для идентификации роуминга. Для всех других серверов аутентификации идентификация роуминга необязательна. Поэтому, для идентификации роуминга рекомендуется вместо истинных имен использовать образные имена (например, anonymous@myrealm).

Конфигурация идентификации роуминга для поддержки нескольких пользователей:

Если используется профиль предварительного/общего подключения, которому необходима идентификация роуминга c применением идентификационной информации входа Windows, создатель профиля может добавить идентификацию роуминга, которая использует формат имени %username% и %domain%. Далее выполняется идентификация роуминга, а ее ключевые слова заменяются соответствующей идентификационной информацией. Это позволяет с максимальной гибкостью конфигурировать идентификацию роуминга для совместного использования профиля несколькими пользователями.

См. руководство пользователя для вашего сервера аутентификации о том, как выполнить форматирование настроек идентификации роуминга. Возможные виды формата:

%domain%\%user_name%
%user_name%@%domain%
%user_name%@%domain%.com
%user_name%@mynetwork.com

Если поле "Идентификация роуминга" не заполнено, по умолчанию используется формат %domain%\%username%.

Примечания об идентификационной информации: Имя пользователя и домен должны соответствовать имени, которое предварительно занесено администратором в сервер аутентификации для аутентификации клиента. Имя пользователя зависит от регистра ввода. Это имя определяет идентификационную информацию, предоставляемую аутентификатору через протокол аутентификации, который функционирует через TLS-туннель. Эта идентификационная информация пользователя безопасно передается в сервер только после установления и проверки защищенного канала.

Протоколы аутентификации

Этот параметр определяет протокол аутентификации, который может работать через туннель TTLS. Далее приведены инструкции по конфигурации профиля, использующего аутентификацию PEAP с протоколами аутентификации GTC, MS-CHAP-V2 (по умолчанию), или TLS.

GTC (Generic Token Card)

Для конфигурации одноразового пароля:

  1. Протокол аутентификации: Выберите GTC (Generic Token Card).
  2. Идентификационная информация пользователя: Выберите Запрашивать при каждом подключении. (Это возможно только при создании персонального профиля. Не используется для создания общих ИТ-профилей).
  3. Вкл. приглашение подключения для: Выберите одно из следующих:
Имя Описание
Статический пароль При подключении пользователь должен ввести свои учетные данные.
Одноразовый пароль (OTP) Получает пароль из аппаратного устройства или программы выдачи идентификационной информации.
PIN-код (простая идентификация) Получает пароль из программы выдачи простой идентификационной информации.

ПРИМЕЧАНИЕ. Параметр Запрашивать при каждом подключении будет недоступен, если в программе Администратор не выбрана функция Кэшировать учетные данные. См. раздел Настройки программы Администратор для получения дополнительной информации.

  1. Щелкните OK.
  2. Если вы действуете в качестве обычного пользователя, выполните три следующие действия.
  3. На странице "Сети WiFi" выберите профиль.
  4. Щелкните Подключить. У вас будет запрошено ввести имя пользователя, имя домена и одноразовый пароль (OTP).
  5. Щелкните OK. Вам предлагается проверить ваши регистрационные данные.

одноразовый пароль

MS-CHAP-V2: Этот параметр определяет протокол аутентификации, работающий через туннель PEAP.

  1. Идентификационная информация пользователя: Выберите один из следующих параметров: Использовать вход Windows, Запрашивать при каждом подключении или Использовать следующее.
  2. Нажмите Далее для открытия страницы настроек "Сервер PEAP".

TLS: TLS-аутентификация (Transport Layer Security) - это метод двухсторонней аутентификации, который эксклюзивно использует цифровые сертификаты для проверки идентификации клиента и сервера.

  1. Получите и установите сертификат клиента. Дополнительную информацию см. в разделе Создание профиля Windows XP* с аутентификацией TLS или обратитесь за помощью к системному администратору.
  2. Выберите одно из следующих действий для получения сертификата: Использовать смарт-карту, Использовать сертификат, выданный для этого компьютера или Использовать сертификат пользователя в этом компьютере.
  3. Нажмите Далее для открытия страницы настроек "Сервер PEAP".

Действие 2 из 2. Сервер PEAP

  1. Выберите один из следующих методов запроса идентификации: Проверить сертификат сервера или Указать имя сервера/сертификат.
  2. Щелкните OK. Профиль будет добавлен в список профилей.
  3. Выберите новый профиль в конце списка "Профили". Используйте клавиши со стрелками вверх и вниз для установки приоритета нового профиля в списке приоритетов.
  4. Нажмите кнопку Подключить для подключения к выбранной беспроводной сети.

Если на странице "Настройки защиты" не было выбрано Использовать вход Windows, а также не проведена конфигурация идентификационной информации пользователя, идентификационная информация для профиля не будет сохранена. Пожалуйста, введите свои учетные данные для аутентификации в сети.

  1. Щелкните OK для закрытия программы Intel PROSet/Wireless WiFi.

Автоподписка на сертификат PEAP-TLS

На странице Настройки приложения выберите Включить оповещение в случае отклонения TLS сертификатов, если вы хотите получать оповещения об отклонении сертификата PEAP-TLS. Вы будете оповещены, когда сертификат содержит неверную информацию в поле завершения срока действия, и вам нужно выполнить одно из следующих действий:

A potential authentication problem for profile has been detected. The expiration date in the associated certificate may be invalid. (Обнаружена потенциальная проблема аутентификации для профиля. Возможно, неверна дата завершения действия в соответствующем сертификате). Выберите один из следующих параметров:

Функция Описание
Продолжить с текущими параметрами. Продолжите работу с текущим сертификатом.
Обновить сертификат вручную. Будет открыта страница "Выбор сертификата" для выбора другого сертификата.
Обновить сертификат автоматически, используя сертификаты локального хранилища. Этот параметр доступен только в случае, когда локальное хранилище содержит один или несколько сертификатов, для которых поля "кому выдан" и "выдан" соответствуют полям текущего сертификата и для которых еще не прошла дата завершения действия. Если вы установите этот параметр, приложение выберет первый допустимый сертификат.
Выйти для автоматического получения сертификата во время входа (это действие не обновляет профиль и применяется только к сертификатам, сконфигурированным для автоматической подписки).

Завершите сеанс пользователя, который должен получить действительный сертификат во время следующего входа. Профиль должен быть обновлен для выбора нового сертификата.
Автоподписка Отобразится сообщение: Дождитесь автоматического получения сертификата системой. Нажмите Отмена для отмены запроса сертификата.
Больше не показывать это сообщение. Пользователь может избежать выполнения этого действия при последовательных сеансах. Выполненный выбор запоминается для следующих сеансов.

Создание профиля Windows XP* с сетевой аутентификацией LEAP

Cisco LEAP (протокол Light Extensible Authentication Protocol) - это тип аутентификации 802.1X, которая поддерживает надежную взаимную аутентификацию между клиентом и сервером RADIUS. Настройки профиля LEAP включают установки для определения настроек точек доступа LEAP, CKIP и Rogue. Чтобы настроить клиента с аутентификацией LEAP:

  1. Выберите параметр Профили в главном окне утилиты подключений WiFi. Если у вас есть административные права, откройте программу Администратор.
  2. В списке профилей выберите Добавить. Откроется страница Общие настройки в менеджере создания профилей WiFi.
  3. Имя профиля: Введите описательное имя.
  4. Имя сети WiFi (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure). (Этот параметр предназначен для установки режима Infrastructure, если используется программа Администратор).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие (рекомендуется).
  10. Шифрование данных: Рекомендуется AES-CCMP.
  11. Включить 802.1X: Установлено по умолчанию.
  12. Тип аутентификации: Выберите LEAP для использования с этим подключением.
  13. Щелкните Параметры Cisco.
  14. Выберите Включить Cisco Compatible Extensions для включения защиты Cisco Compatible Extensions (CCX) (Быстрый роуминг (CCKM), Включить поддержку управления радиообменом, Включить режим смешанной сети)

    15. cisco extensions
  15. Выберите функцию Включить поддержку управления радиообменом, чтобы обнаруживать фальшивые точки доступа.
  16. Щелкните OK для возврата на страницу "Настройки защиты".

Пользователь LEAP:

пользователь leap
  1. Выберите один из следующих способов аутентификации: Если в диалоге Тип профиля администратора выбрано Постоянный (с предварительным подключением или без него), останется доступен только параметр Использовать следующие имя пользователя и пароль. Если выбрано только предварительное/общее подключение, тогда будут доступны три метода аутентификации.
  2. Щелкните OK для сохранения настроек и закрытия страницы.

Создание профиля Windows XP* с сетевой аутентификацией EAP-FAST

В ПО Cisco Compatible Extensions версии 3 (CCXv3) компания Cisco добавила поддержку протокола EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling), который использует идентификационную информацию защищенного доступа ключей (PAC) для установления аутентифицированного туннеля между клиентом и сервером.

Cisco Compatible Extensions версии 4 (CCXv4) совершенствует методы идентификации для усиления защиты и предоставляет новые средства для защиты, мобильности, качества обслуживания и сетевого управления.

Cisco Compatible Extensions версии 3 (CCXv3)

Для настройки клиента с EAP-FAST-аутентификацией и функциями Cisco Compatible Extensions версии 3 (CCXv3):

  1. Выберите параметр Профили в главном окне утилиты подключений WiFi. Если у вас есть административные права, откройте программу Администратор.
  2. На странице "Профили" щелкните Добавить для открытия страницы Общие настройки мастера создания профилей WiFi.
  3. Имя сети WiFi (SSID): Введите идентификатор сети.
  4. Имя профиля: Введите описательное имя.
  5. Режим работы: Щелкните Сеть (Infrastructure). (Этот параметр предназначен для установки режима Infrastructure, если используется программа Администратор).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие (рекомендуется).
  10. Шифрование данных: Рекомендуется AES-CCMP.
  11. Включить 802.1X: Установлено по умолчанию.
  12. Тип аутентификации: Выберите EAP-FAST для использования с этим подключением.

ПРИМЕЧАНИЕ. Если параметры CCXv4 приложения не были установлены вместе с пакетом администратора, для конфигурации будут доступны только настройки пользователя EAP-FAST. См. раздел Настройки пользователя EAP-FAST.

Действие 1 из 2. Идентификация EAP-FAST

  1. Выберите Отключить дополнения EAP-FAST (CCXv4) для разрешения доступа в неаутентифицированном TLS-туннеле сервера (режим Unauthenticated-TLS-Server Provisioning).
  2. Нажмите кнопку Выбрать сервер для отображения любых неаутентифицированных ключей PAC, которые уже были утверждены и находятся в этом компьютере.

ПРИМЕЧАНИЕ. Если идентификационные учетные данные (ключ PAC) верны, утилита подключений WiFi не запрашивает пользователя подтвердить их. Если информация PAC недействительна, утилита подключений WiFi автоматически блокирует доступ. В программе просмотра событий появится сообщение состояния, которое может быть проверено администратором этого компьютера.

  1. Для импорта ключа PAC:
PAC
    1. Нажмите кнопку Выбрать сервер для открытия списка "Идентификация безопасного доступа (PAC)".
    2. Щелкните Импорт для импорта ключа PAC, который находится в этом компьютере.
    3. Выберите ключ PAC и нажмите Открытая.
    4. Введите пароль PAC (необязательно).
    5. Щелкните OK для закрытия страницы. Выбранный ключ PAC будет добавлен в список.
  1. Нажмите Далее для выбора метода получения идентификации или нажмите OK для сохранения настроек EAP-FAST и возврата в список профилей. Ключ PAC будет использоваться с этим профилем беспроводной сети.

Действие 2 из 2. Дополнительная информация EAP-FAST

Для аутентификации клиента в установленном туннеле клиентская станция отправляет имя пользователя и пароль для установления политики идентификации клиента.

  1. Нажмите Идентификационная информация пользователя для выбора одного из следующих методов запроса идентификационной информации: Использовать вход Windows, Запрашивать при каждом подключении или Использовать следующее.
  2. Щелкните "OK" для сохранения настроек и закрытия страницы. Проверка сервера не требуется.

Cisco Compatible Extensions версии 4 (CCXv4)

Для настройки клиента с EAP-FAST-аутентификацией и функциями Cisco Compatible Extensions версии 4 (CCXv4):

  1. Выберите параметр Профили в главном окне утилиты подключений WiFi. Если у вас есть административные права, откройте программу Администратор.
  2. На странице "Профили" щелкните Добавить для открытия страницы Общие настройки мастера создания профилей WiFi.
  3. Имя сети WiFi (SSID): Введите идентификатор сети.
  4. Имя профиля: Введите описательное имя.
  5. Режим работы: Щелкните Сеть (Infrastructure). (Этот параметр предназначен для установки режима Infrastructure, если используется программа Администратор).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие (рекомендуется).
  10. Шифрование данных: Рекомендуется AES-CCMP.
  11. Включить 802.1X: Выбрано.
  12. Тип аутентификации: Выберите EAP-FAST для использования с этим подключением.

идентификация eapfast

Действие 1 из 3. Идентификация EAP-FAST

EAP-FAST с функцией CCXv4 поддерживает два режима аутентификации:

ПРИМЕЧАНИЕ. Метод аутентификации в сервере обеспечивает преимущества в защите перед способом без аутентификации в сервере даже, когда применяется протокол EAP-MS-CHAP-V2. В этом режиме обеспечивается защита обмена по протоколу EAP-MS-CHAP-V2 от атак нарушителей с помощью проверки идентификации сервера перед выполнением обмена MS-CHAP-V2. Поэтому, метод аутентификации в сервере наиболее предпочтителен. Протокол EAP-FAST должен использовать метод аутентификации в сервере, если для этого доступны сертификат или общий ключ, что гарантирует усиление безопасности.

Идентификация безопасного доступа (PAC):

EAP-FAST использует ключ идентификационной информации безопасного доступа PAC для защиты учетных данных пользователя, передаваемых для обмена в сети. Подлинность всех аутентификаторов EAP-FAST подтверждается с помощью центра идентификации (A-ID). Локальный аутентификатор отправляет свой A-ID клиенту, выполняющему аутентификацию, который затем проверяет свою базу данных для обнаружения соответствующего A-ID. Если клиент не найдет нужный A-ID, он запросит новый ключ PAC.

ПРИМЕЧАНИЕ. Если идентификационные учетные данные (PAC) верны, утилита подключений WiFi не запрашивает пользователя подтвердить их. Если информация PAC недействительна, утилита подключений WiFi автоматически блокирует доступ. В программе просмотра событий появится сообщение состояния, которое может быть проверено администратором этого компьютера.

  1. Проверьте, что не выбран параметр Отключить дополнения EAP-FAST (CCXv4) . Параметры Вход без аутентификации и Вход с аутентификацией установлены по умолчанию. После выбора ключа PAC в сервере по умолчанию можно отменить выбор этих методов аутентификации.
  2. Сервер по умолчанию: Нет установлено по умолчанию. Щелкните Выбрать сервер для выбора ключа PAC в сервере PAC-аутентификации по умолчанию или выберите сервер из списка Группа сервера. Будет открыта страница сервера по умолчанию EAP-FAST (центр сертификации PAC).

ПРИМЕЧАНИЕ. Группы серверов отображаются в списке только, если установлен пакет администратора, содержащий настройки группы идентификации (A-ID) EAP-FAST.

Рассылка ключей PAC может быть выполнена вручную (внеполосное управление). Идентификация, выполняемая вручную, позволяет создавать файл PAC для пользователя в сервере аутентификации ACS, а затем импортировать в компьютер пользователя. Файл PAC может быть защищен паролем, который пользователь должен будет ввести перед началом импорта ключа PAC.

  1. Для импорта ключа PAC:
    1. Щелкните Импорт для импорта ключа PAC из сервера PAC.
    2. Щелкните Открыть.
    3. Введите пароль PAC (необязательно).
    4. Щелкните OK для закрытия страницы. Выбранный ключ PAC будет использоваться с этим профилем беспроводной сети.

Протокол EAP-FAST CCXv4 обеспечивает поддержку идентификации с помощью других данных в отличие от ключа PAC, используемого для проверки подлинности в подключении через туннель. Типы поддерживаемой идентификации включают доверенный сертификат ЦС, идентификационные данные машины, временные учетные данные пользователя, используемые вместо аутентификации пользователя.

Использовать сертификат (TLS-аутентификация)

  1. Щелкните Использовать сертификат (TLS-аутентификация).
  2. Выберите Защита идентификации для защищенного туннеля.
  3. Выберите одно из следующих действий для получения сертификата: Использовать смарт-карту, Использовать сертификат, выданный для этого компьютера или Использовать сертификат пользователя в этом компьютере.
  4. Имя пользователя: Введите имя пользователя, назначенное для сертификата пользователя.
  5. Щелкните Далее.

Действие 2 из 3. Дополнительная информация EAP-FAST

Если будут выбраны параметры Использовать сертификат (TLS-аутентификация) и Использовать сертификат пользователя в этом компьютере, нажмите Далее (идентификация роуминга не требуется) и перейдите к действию 3 и конфигурации сертификата EAP-FAST для сервера. Если нет необходимости в конфигурации параметров сервера EAP-FAST, нажмите OK для сохранения настроек и возврата на страницу профилей.

Если будет выбрано Использовать смарт-карту, добавьте идентификацию роуминга (если нужно). Щелкните OK для сохранения настроек и возврата на предыдущую страницу.

Если вы не выбрали Использовать сертификат (TLS-аутентификация), нажмите Далее для выбора протокола аутентификации. Функции CCXv4 разрешают использование дополнительных идентификационных данных для установления подключения через туннель.

Протокол аутентификации: Выберите GTC или MS-CHAP-V2 (по умолчанию).

GTC (Generic Token Card)

GTC может использоваться с режимом аутентификации в сервере. Это позволяет узлам, использующим другие базы данных пользователей, например LDAP (Lightweight Directory Access Protocol) и технологию одноразового пароля (OTP), проводить аутентификацию по основному каналу. Однако для аутентификации в сервере замена достигается только в случае получения разрешения от кодировщика TLS.

Для конфигурации одноразового пароля:

  1. Протокол аутентификации: Выберите GTC (Generic Token Card).
  2. Идентификационная информация пользователя: Выберите Запрашивать при каждом подключении.
  3. Вкл. приглашение подключения для: Выберите одно из следующих:
Имя Описание
Статический пароль При подключении пользователь должен ввести свои учетные данные.
Одноразовый пароль (OTP) Получает пароль из аппаратного устройства или программы выдачи идентификационной информации.
PIN-код (простая идентификация) Получает пароль из программы выдачи простой идентификационной информации.
  1. Щелкните OK.
  2. На странице "Сети WiFi" выберите профиль.
  3. Щелкните Подключить. У вас будет запрошено ввести имя пользователя, имя домена и одноразовый пароль (OTP).
  4. Щелкните OK.

MS-CHAP-V2. Этот параметр определяет протокол аутентификации, работающий через туннель PEAP.

  1. Протокол аутентификации: Выберите MS-CHAP-V2.
  2. Выберите идентификационную информацию пользователя: Использовать вход Windows, Запрашивать при каждом подключении или Использовать следующее.
  3. Идентификация роуминга: В этом поле может быть указана идентификация роуминга или имя %domain%\%username% в качестве формата по умолчанию для ввода идентификации.

Когда используется сервер аутентификации 802.1X Microsoft IAS RADIUS, он выполняет аутентификацию устройства, используя для этого идентификацию роуминга в программе Intel PROSet/Wireless WiFi, и игнорирует имя пользователя аутентификационного протокола MS-CHAP-V2. Сервер Microsoft IAS RADIUS принимает только допустимые имена пользователей (пользователи dotNet) для идентификации роуминга. Для всех других серверов аутентификации идентификация роуминга необязательна. Поэтому, для идентификации роуминга рекомендуется вместо истинных имен использовать образные имена (например, anonymous@myrealm).

Действие 3 из 3. Сервер EAP-FAST

Режим TLS-аутентификации в сервере поддерживает использование сертификата ЦС, сертификата с собственной подписью или общих ключей сервера, а также метода GTC, в качестве внутренней аутентификации EAP.

  1. Выберите один из следующих методов запроса идентификации: Проверить сертификат сервера или Указать имя сервера/сертификат.
  2. Щелкните OK для закрытия окна настроек защиты.

Настройки пользователя EAP-FAST

ПРИМЕЧАНИЕ. Если пакет администратора, предназначенный для экспорта в компьютер пользователя, не использует настройки программы Администратор “Включить CCXv4”, для конфигурации будут доступны только параметры пользователя EAP-FAST.

Чтобы настроить клиента с аутентификацией EAP-FAST:

  1. Выберите параметр Профили в главном окне утилиты подключений WiFi. Если у вас есть административные права, откройте программу Администратор.
  2. В окне списка профилей щелкните Добавить для открытия окна "Создать профиль сети WiFi" на странице "Общие настройки".
  3. Имя сети WiFi (SSID): Введите идентификатор сети.
  4. Имя профиля: Введите описательное имя.
  5. Режим работы: Щелкните Сеть (Infrastructure). (Этот параметр предназначен для установки режима Infrastructure, если используется программа Администратор).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие.
  10. Шифрование данных: Выберите одно из следующих:
  11. Включить 802.1X: Выбрано.
  12. Тип аутентификации: Выберите EAP-FAST для использования с этим подключением.
  13. Щелкните Параметры Cisco для выбора параметра Разрешить быстрый роуминг (CCKM), который позволяет адаптеру WiFi выполнять быстрый защищенный роуминг.

Действие 1 из 3. Идентификация EAP-FAST (настройки пользователя)

EAP-FAST использует ключ идентификационной информации безопасного доступа PAC для защиты учетных данных пользователя, передаваемых для обмена в сети. Подлинность всех аутентификаторов EAP-FAST подтверждается с помощью центра идентификации (A-ID). Локальный аутентификатор отправляет свой A-ID клиенту, выполняющему аутентификацию, который затем проверяет свою базу данных для обнаружения соответствующего A-ID. Если клиент не найдет нужный A-ID, он запросит новый ключ PAC.

ПРИМЕЧАНИЕ. Если идентификационные учетные данные (PAC) верны, утилита подключений WiFi не запрашивает пользователя подтвердить их. Если информация PAC недействительна, утилита подключений WiFi автоматически блокирует доступ. В программе просмотра событий появится сообщение состояния, которое может быть проверено администратором этого компьютера.

  1. Оставьте неотмеченным Отключить дополнения EAP-FAST (CCXv4).
  2. Параметры Вход с аутентификацией и Вход без аутентификации установлены.
  3. Сервер по умолчанию: По умолчанию ничего не выбрано. Щелкните Выбрать сервер для выбора ключа PAC на сервере центра сертификации PAC про умолчанию. Откроется страница идентификации безопасного доступа.

ПРИМЕЧАНИЕ. Группы серверов отображаются в списке только, если установлен пакет администратора, содержащий настройки группы идентификации (A-ID) EAP-FAST.

Рассылка ключей PAC может быть выполнена вручную (внеполосное управление). Идентификация, выполняемая вручную, позволяет создавать файл PAC для пользователя в сервере аутентификации ACS, а затем импортировать в компьютер пользователя. Файл PAC может быть защищен паролем, который пользователь должен будет ввести перед началом импорта ключа PAC.

  1. Для импорта ключа PAC:
    1. Щелкните Импорт для импорта ключа PAC из сервера PAC.
    2. Щелкните Открыть.
    3. Введите пароль PAC (необязательно).
    4. Щелкните OK для закрытия страницы. Выбранный ключ PAC будет использоваться с этим профилем беспроводной сети.
  2. Щелкните Далее.
  3. Если это профиль не является предварительным/общим, нажмите Далее и перейдите к разделу Действие 3 из 3. Сервер EAP-FAST.
  4. Если это предварительный/общий профиль, или для его создания не используется программа Администратор, перейдите к следующему действию.

Действие 2 из 3. Дополнительная информация EAP-FAST

  1. Протокол аутентификации: Выберите MS-CHAP-V2 или GTC
  2. Учетные данные пользователя: Выберите "Использовать вход Windows" или "Использовать следующее".
  3. Если было выбрано Использовать следующее, введите имя пользователя, имя домена, пароль и подтверждение пароля.
  4. Введите идентификацию роуминга: %DOMAIN%\%USERNAME
  5. Щелкните "Далее".

Действие 3 из 3. Сервер EAP-FAST

  1. Если необходимо, выберите проверку сертификата сервера и из ниспадающего меню выберите "Поставщик сертификата". Выбор по умолчанию "Любой доверенный центр сертификации".
  2. Если необходимо, выберите Указать имя сервера/сертификата и введите имя. Затем щелкните Имя сервера должно быть идентичным указанному или Имя домена должно завершаться указанным.
  3. Щелкните OK.

К началу страницы

К содержанию

Товарные знаки и отказ от обязательств