Vytváření profilů pro systém Windows*

Tento oddíl popisuje způsob vytváření profilů pro systém Windows* XP, Windows Vista* a Windows* 7.

Síť typu infrastruktura sestává z jednoho nebo více přístupových bodů a jednoho nebo více počítačů s nainstalovanými WiFi adaptéry. Každý přístupový bod musí mít kabelové připojení k síti WiFi. Tento oddíl popisuje způsob vytváření různých profilů sítí WiFi.

POZNÁMKA: Na profily jednotného přihlášení vytvořené pro klienty se systémem Windows Vista* a Windows* 7* se vztahuje několik omezení. Viz část Důležité informace týkající se jednotného přihlášení v systému Windows Vista* a Windows* 7.

Vytvoření profilu bez ověřování nebo šifrování dat
Vytvoření profilu se sdíleným ověřováním v síti
Vytvoření profilu s ověřováním v síti WPA-osobní nebo WPA2-osobní
Vytvoření profilu s ověřováním v síti WPA-podniky nebo WPA2-podniky
Vytvoření profilu se šifrováním dat WEP a ověřováním v síti EAP-SIM
Vytvoření profilu s ověřováním v síti TLS
Vytvoření profilu s ověřováním v síti TTLS
Vytvoření profilu s ověřováním v síti PEAP
Vytvoření profilu s ověřováním v síti LEAP
Vytvoření profilu s ověřováním v síti EAP-AKA
Vytvoření profilu s ověřováním v síti EAP-FAST

Vytvoření profilu bez ověřování nebo šifrování dat (Žádné)

UPOZORNĚNÍ: Sítě, které nepoužívají ověřování ani šifrování, jsou vysoce zranitelné vůči přístupu neoprávněných uživatelů.

Vytvoření profilu připojení k bezdrátové síti bez šifrování:

Klepněte na tlačítko Profily... v hlavním okně Nástroje pro připojení Intel® PROSet/Wireless WiFi. Pokud vystupujete jako správce, otevřete Nástroj správce.
V seznamu profilů/na kartě Profily klepnutím na tlačítko Přidat otevřete okno Vytvořit profil WiFi sítě – Obecná nastavení.
Název profilu: Zadejte popisný název profilu.
Název WiFi sítě (SSID): Zadejte identifikátor sítě.
Provozní režim: Klepněte na možnost Síť (Infrastruktura). (Pokud používáte Nástroj správce, je tento parametr nastaven na možnost Infrastruktura.)
Typ profilu správce: Vyberte možnost Trvalý nebo Před přihlášením/Běžný. (Tento krok platí, jen pokud používáte Nástroj správce.)
Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
Klepněte na položku Podnikové zabezpečení.
Ověření v síti: Otevřené (vybráno).

Otevřené ověřování umožňuje bezdrátovému zařízení přístup k síti bez ověření 802.11. Pokud v síti není povoleno žádné šifrování, může se jakékoli bezdrátové zařízení se správným síťovým názvem (SSID) přidružit k přístupovému bodu a získat přístup k síti.

Šifrování dat: Výchozí nastavení je Žádné.
Klepněte na tlačítko OK. Profil bude přidán do seznamu profilů a adaptér se připojí k bezdrátové síti.

Vytvoření profilu se sdíleným ověřováním v síti

Při použití ověřování sdíleným klíčem se předpokládá, že každá bezdrátová stanice obdržela tajný sdílený kód prostřednictvím zabezpečeného kanálu nezávislého na bezdrátovém komunikačním kanálu 802.11. Ověřování pomocí sdíleného klíče vyžaduje, aby klient nakonfiguroval statický klíč WEP nebo CKIP. Klient získá přístup pouze tehdy, pokud splní podmínky ověřování. Protokol CKIP poskytuje silnější šifrování dat než protokol WEP, ale není podporován všemi operačními systémy a přístupovými body.

POZNÁMKA: Sdílený klíč se může jevit jako lepší možnost poskytující vyšší zabezpečení, existuje zde však slabé místo spočívající v přenosu ověřovacího řetězce klientovi v podobě prostého textu. Pokud někdo pomocí softwarového nástroje zjistí ověřovací řetězec, lze zpětnou analýzou snadno získat sdílený ověřovací klíč. Otevřené ověřování (se šifrováním dat) je tak ve skutečnosti bezpečnější.

Vytvoření profilu se sdíleným ověřováním:

V hlavním okně nástroje pro připojení WiFi klepněte na tlačítko Profily.... Pokud vystupujete jako správce, otevřete Nástroj správce.
V seznamu profilů/na kartě Profily klepnutím na tlačítko Přidat otevřete okno Vytvořit profil WiFi sítě – Obecná nastavení.
Název profilu: Zadejte popisný název profilu.
Název WiFi sítě (SSID): Zadejte identifikátor sítě.
Provozní režim: Klepněte na možnost Síť (Infrastruktura). (Pokud používáte Nástroj správce, je tento parametr nastaven na možnost Infrastruktura.)
Typ profilu správce: Vyberte možnost Trvalý nebo Před přihlášením/Běžný. (Tento krok platí, jen pokud používáte Nástroj správce.)
Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
Klepněte na položku Podnikové zabezpečení.
Ověření v síti: Vyberte možnost Sdílené. Sdílené ověřování je prováděno pomocí předem nakonfigurovaného klíče WEP.
Šifrování dat: Vyberte možnost Žádné, WEP (64bitové nebo 128bitové) nebo CKIP (64bitové nebo 128bitové).
Povolit 802.1X: Zakázáno.
Úroveň šifrování: 64bitové nebo 128bitové: Při přepínání mezi 64bitovým a 128bitovým šifrováním budou předchozí nastavení vymazána a je třeba zadat nové heslo.
Index klíče: Vyberte 1, 2, 3 nebo 4. Změňte Index klíče uvedením až čtyř hesel.
Heslo bezdrátového zabezpečení (šifrovací klíč): Zadejte heslo bezdrátové sítě (šifrovací klíč). Toto heslo má stejnou hodnotu, jakou používá bezdrátový přístupový bod nebo směrovač. Toto heslo vám sdělí správce sítě.

Heslo (64bitové): Zadejte 5 alfanumerických znaků, 0-9, a-z nebo A-Z.
Hexadecimální klíč (64bitový): Zadejte 10 šestnáctkových znaků, 0-9, A-F.
Heslo (128bitové): Zadejte 13 alfanumerických znaků, 0-9, a-z nebo A-Z.
Hexadecimální klíč (128bitový): Zadejte 26 šestnáctkových znaků, 0-9, A-F.

Vytvoření profilu s ověřováním v síti WPA-osobní nebo WPA2-osobní

Šifrování WPA (Wi-Fi Protected Access) představuje rozšíření zabezpečení, které podstatně zvyšuje ochranu dat a kontrolu přístupu do bezdrátové sítě. Šifrování WPA – osobní vyžaduje výměnu klíčů a funguje pouze s dynamickými šifrovacími klíči. Pokud bezdrátový přístupový bod nebo směrovač podporuje šifrování WPA – osobní nebo WPA2 – osobní, je třeba jej povolit na přístupovém bodu a zadat dlouhé a bezpečné heslo. V osobních a domácích sítích bez serveru RADIUS nebo AAA použijte ověřování WPA – osobní.

WPA – osobní: Metoda zabezpečení bezdrátové sítě, která poskytuje vysokou ochranu dat a zabraňuje neoprávněnému přístupu k síti v malých sítích. Používá šifrování TKIP (Temporal Key Integrity Protocol) nebo AES-CCMP a chrání před neoprávněným přístupek k síti prostřednictvím předsdíleného klíče (PSK).
WPA2 – osobní: Vylepšená metoda zabezpečení bezdrátové sítě WPA, která poskytuje vyšší ochranu dat a zabraňuje neoprávněnému přístupu k síti v malých sítích.

POZNÁMKA: Šifrování WPA – osobní a WPA2 – osobní mohou vzájemně spolupracovat.

Některá řešení zabezpečení nemusí být podporována konkrétními operačními systémy a pravděpodobně bude zapotřebí dodatečný software nebo určitý hardware a také podpora bezdrátové síťové infrastruktury. Podrobné informace získáte od výrobce počítače.

Přidání profilu s ověřováním v síti WPA – osobní nebo WPA2 – osobní:

V hlavním okně nástroje pro připojení WiFi klepněte na tlačítko Profily.... Pokud vystupujete jako správce, otevřete Nástroj správce.
V seznamu profilů/na kartě Profily klepnutím na tlačítko Přidat otevřete okno Vytvořit profil WiFi sítě – Obecná nastavení.
Název profilu: Zadejte popisný název profilu.
Název WiFi sítě (SSID): Zadejte identifikátor sítě.
Provozní režim: Klepněte na možnost Síť (Infrastruktura). (Pokud používáte Nástroj správce, je tento parametr nastaven na možnost Infrastruktura.)
Typ profilu správce: Vyberte možnost Trvalý nebo Před přihlášením/Běžný. (Tento krok platí, jen pokud používáte Nástroj správce.)
Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
Klepněte na položku Podnikové zabezpečení.
Ověření v síti: Vyberte možnost WPA - osobní nebo WPA2 - osobní. Další informace najdete v části Přehled zabezpečení.
Šifrování dat: Vyberte možnost TKIP nebo AES-CCMP (doporučeno).
Heslo: Zadejte textový výraz obsahující 8 až 63 znaků. Dlouhé heslo poskytuje silnější zabezpečení sítě než krátké heslo. Stejné heslo, které zadáte na přístupových bodech, musíte použít v tomto počítači a ve všech ostatních bezdrátových zařízeních, která přistupují k bezdrátové síti.

Vytvoření profilu s ověřováním v síti WPA-podniky nebo WPA2-podniky

Režim WPA2 – podniky vyžaduje ověřovací server.

WPA – podniky: Metoda zabezpečení bezdrátové sítě, která poskytuje vysokou ochranu dat pro více uživatelů v rozsáhlých spravovaných sítích. Využívá systém ověřování 802.1X se šifrováním TKIP nebo AES-CCMP a zabraňuje neoprávněnému přístupu k síti ověřováním uživatelů sítě prostřednictvím ověřovacího serveru.
WPA2 – podniky: Vylepšená metoda zabezpečení bezdrátové sítě WPA, která poskytuje vyšší ochranu dat pro více uživatelů v rozsáhlých spravovaných sítích. Zabraňuje neoprávněnému přístupu k síti ověřováním uživatelů sítě prostřednictvím ověřovacího serveru.

POZNÁMKA: Šifrování WPA – podniky a WPA2 – podniky mohou vzájemně spolupracovat.

Přidání profilu s ověřováním WPA – podniky nebo WPA2 – podniky:

Získejte od správce systému uživatelské jméno a heslo na server RADIUS.
Některé typy ověřování vyžadují získání a instalaci klientského certifikátu. Další informace najdete v části Vytvoření profilu s ověřováním TLS nebo se obraťte na správce.
V hlavním okně nástroje pro připojení WiFi klepněte na tlačítko Profily.... Pokud vystupujete jako správce, otevřete Nástroj správce.
V seznamu profilů klepnutím na tlačítko Přidat otevřete okno Vytvořit profil WiFi sítě – Obecná nastavení.
Název profilu: Zadejte popisný název profilu.
Název WiFi sítě (SSID): Zadejte identifikátor sítě.
Provozní režim: Klepněte na možnost Síť (Infrastruktura). (Pokud používáte Nástroj správce, je tento parametr nastaven na možnost Infrastruktura.)
Typ profilu správce: Vyberte možnost Trvalý nebo Před přihlášením/Běžný. (Tento krok platí, jen pokud používáte Nástroj správce.)
Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
Klepněte na položku Podnikové zabezpečení.
Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky.
Šifrování dat: Vyberte možnost TKIP nebo AES-CCMP (doporučeno).
Povolit 802.1X: Vybráno jako výchozí.
Typ ověření: Vyberte jednu z následujících možností: EAP-SIM, LEAP, TLS, TTLS, PEAP nebo EAP-FAST.

Konfigurace profilů sítě s typy ověřování 802.1X

Vytvoření profilu se šifrováním dat WEP a ověřováním v síti EAP-SIM

Ověřování EAP-SIM používá k šifrování dat dynamický relační klíč WEP, který je odvozen od klientského adaptéru a serveru RADIUS. Šifrování EAP-SIM vyžaduje ke komunikaci s kartou SIM (Subscriber Identity Module) zadání kódu ověření uživatele (PIN). Karta SIM je speciální karta Smart používaná digitálními mobilními sítěmi standardu GSM (Global System for Mobile Communications).

Mapování profilu

Tento profil bude vyexportován odlišně pro klienty se systémem Windows* XP a pro klienty se systémem Windows Vista* a Windows* 7. Další informace najdete v části Mapování profilů EAP-SIM.

Přidání profilu s ověřováním EAP-SIM:

V hlavním okně nástroje pro připojení WiFi klepněte na tlačítko Profily.... Pokud vystupujete jako správce, otevřete Nástroj správce.
V seznamu profilů klepnutím na tlačítko Přidat otevřete okno Vytvořit profil WiFi sítě – Obecná nastavení.
Název profilu: Zadejte název profilu.
Název WiFi sítě (SSID): Zadejte identifikátor sítě.
Provozní režim: Klepněte na možnost Síť (Infrastruktura). (Pokud používáte Nástroj správce, je tento parametr nastaven na možnost Infrastruktura.)
Typ profilu správce: Vyberte možnost Trvalý nebo Před přihlášením/Běžný. (Tento krok platí, jen pokud používáte Nástroj správce.)
Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
Klepněte na položku Podnikové zabezpečení.
Ověření v síti: Vyberte možnost Otevřené (doporučeno).
Šifrování dat: Vyberte možnost WEP.
Klepněte na políčko Povolit 802.1X.
Typ ověření: Vyberte možnost EAP-SIM.

Ověřování EAP-SIM lze kombinovat s následujícími možnostmi:

Typy režimů ověřování v síti: Otevřený, Sdílený, WPA – podniky a WPA2 – podniky
Typy šifrování dat: Žádné, WEP, TKIP, AES-CCMP a CKIP

Uživatel EAP-SIM (volitelné)

Klepněte na položku Zadat uživatelské jméno (identitu).
Do pole Uživatelské jméno: Zadejte uživatelské jméno přiřazené kartě SIM.
Klepněte na tlačítko OK.

Vytvoření profilu pro systém Windows* XP s ověřováním v síti EAP-AKA

EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) je mechanismus EAP pro ověřování a distribuci klíče relace, který používá kartu USIM (Subscriber Identity Module) systému UMTS (Universal Mobile Telecommunications System). Karta USIM je speciální karta Smart používaná mobilními sítěmi k ověření daného uživatele v síti.

Ověřování EAP-AKA lze používat s následujícími možnostmi:

Ověření v síti: Otevřené, WPA - podniky a WPA2 - podniky
Šifrování dat: WEP nebo CKIP pro otevřené ověřování, TKIP nebo AES-CCMP pro podnikové ověřování.

Mapování profilu

Tento profil bude vyexportován odlišně pro klienty se systémem Windows* XP a pro klienty se systémem Windows Vista* a Windows* 7. Další informace najdete v části Mapování profilů EAP-AKA.

Přidání profilu s ověřováním EAP-AKA:

V hlavním okně nástroje pro připojení WiFi klepněte na tlačítko Profily.... Pokud vystupujete jako správce, otevřete Nástroj správce.
V seznamu profilů klepnutím na tlačítko Přidat otevřete okno Vytvořit profil WiFi sítě – Obecná nastavení.
Název profilu: Zadejte název profilu.
Název WiFi sítě (SSID): Zadejte identifikátor sítě.
Provozní režim: Klepněte na možnost Síť (Infrastruktura). (Pokud používáte Nástroj správce, je tento parametr nastaven na možnost Infrastruktura.)
Typ profilu správce: Vyberte možnost Trvalý nebo Před přihlášením/Běžný. (Tento krok platí, jen pokud používáte Nástroj správce.)
Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
Klepněte na položku Podnikové zabezpečení.
Ověření v síti: Vyberte možnost Otevřené, WPA – podniky nebo WPA2 – podniky.
Šifrování dat: Vyberte možnost WEP nebo CKIP pro otevřené ověřování, TKIP nebo AES-CCMP pro podnikové ověřování.
Klepněte na políčko Povolit 802.1X, pokud již není zaškrtnuto.
Typ ověření: Vyberte možnost EAP-AKA.

Uživatel EAP-AKA (volitelné)

Klepněte na položku Zadat uživatelské jméno (identitu).
Do pole Uživatelské jméno: Zadejte uživatelské jméno přiřazené kartě USIM.
Klepněte na tlačítko OK.

Vytvoření profilu s ověřováním v síti TLS

Tato nastavení definují protokol a identifikační informace použité k ověření uživatele. Ověřování TLS (Transport Layer Security) je obousměrná metoda ověřování, která pro ověření identity klienta a serveru používá výhradně digitální certifikáty.

Mapování profilu

Tento profil bude vyexportován odlišně pro klienty se systémem Windows* XP a pro klienty se systémem Windows Vista* a Windows* 7. Další informace najdete v části Mapování profilů TLS.

Vytvoření profilu s ověřováním TLS

V hlavním okně nástroje pro připojení WiFi klepněte na tlačítko Profily.... Pokud vystupujete jako správce, otevřete Nástroj správce.
V seznamu profilů klepnutím na tlačítko Přidat otevřete okno Vytvořit profil WiFi sítě – Obecná nastavení.
Název profilu: Zadejte popisný název profilu.
Název WiFi sítě (SSID): Zadejte identifikátor sítě.
Provozní režim: Klepněte na možnost Síť (Infrastruktura). (Pokud používáte Nástroj správce, je tento parametr nastaven na možnost Infrastruktura.)
Typ profilu správce: Vyberte možnost Trvalý nebo Před přihlášením/Běžný. (Tento krok platí, jen pokud používáte Nástroj správce.)
Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
Klepněte na položku Podnikové zabezpečení.
Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky (doporučeno).
Šifrování dat: Vyberte možnost AES-CCMP (doporučeno).
Povolit 802.1X: Vybráno jako výchozí.
Typ ověření: Vyberte ověřování TLS, které má být použito s tímto připojením.

Krok 1 ze 2: Uživatel TLS

Získejte a nainstalujte klientský certifikát. Další informace najdete v části Vytvoření profilu s ověřováním TLS nebo se obraťte na správce systému.
Vyberte některou z následujících možností získání certifikátu: Použít moji kartu Smart, Použít certifikát vystavený pro tento počítač nebo Použít certifikát uživatele v tomto počítači.
Klepnutím na tlačítko Další přejděte na nastavení Server TLS.

Krok 2 ze 2: Server TLS

Vyberte jednu z následujících metod získání pověření: Ověřit certifikát serveru nebo Zadat název serveru nebo certifikátu.
Klepněte na tlačítko OK. Profil bude přidán do seznamu profilů.
Klepněte na nový profil na konci seznamu profilů. Ke změně priority nového profilu použijte šipky nahoru a dolů.
Připojte se k vybrané bezdrátové síti klepnutím na tlačítko Připojit.
Ukončete nástroj klepnutím na tlačítko OK.

Vytvoření profilu s ověřováním v síti TTLS

Ověřování TTLS: Toto nastavení definuje protokol a identifikační informace použité k ověření uživatele. Klient používá protokol EAP-TLS k ověření serveru a vytvoření kanálu se šifrováním TLS mezi klientem a serverem. Klient může použít jiný ověřovací protokol. Protokoly založené na heslu typicky ověřují prostřednictvím neveřejného šifrovacího kanálu TLS.

Mapování profilu

Tento profil bude vyexportován odlišně pro klienty se systémem Windows* XP a pro klienty se systémem Windows Vista* a Windows* 7. Další informace najdete v části Mapování profilů TTLS.

Vytvoření profilu s ověřováním TTLS

V hlavním okně nástroje pro připojení WiFi klepněte na tlačítko Profily.... Pokud vystupujete jako správce, otevřete Nástroj správce.
V seznamu profilů klepnutím na tlačítko Přidat otevřete okno Vytvořit profil WiFi sítě – Obecná nastavení.
Název profilu: Zadejte popisný název profilu.
Název WiFi sítě (SSID): Zadejte identifikátor sítě.
Provozní režim: Klepněte na možnost Síť (Infrastruktura). (Pokud používáte Nástroj správce, je tento parametr nastaven na možnost Infrastruktura.)
Typ profilu správce: Vyberte možnost Trvalý nebo Před přihlášením/Běžný. (Tento krok platí, jen pokud používáte Nástroj správce.
Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
Klepněte na položku Podnikové zabezpečení.
Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky (doporučeno).
Šifrování dat: Vyberte možnost TKIP nebo AES-CCMP (doporučeno).
Povolit 802.1X: Vybráno jako výchozí.
Typ ověření: Vyberte ověřování TTLS, které má být použito s tímto připojením.

Krok 1 ze 2: Uživatel TTLS

Protokol pro ověřování: Tento parametr určuje protokol pro ověřování, který funguje v tunelu TTLS. Jedná se o tyto protokoly: PAP (výchozí), CHAP, MS-CHAP a MS-CHAP-V2. Další informace najdete v části Přehled zabezpečení.
Pověření uživatele: Pro protokoly PAP, CHAP, MS-CHAP a MS-CHAP-V2 vyberte jeden z následujících způsobů ověřování: Použít přihlášení systému Windows, Zobrazit výzvu při každém připojení nebo Použít následující.
Identita pro roaming: Do tohoto pole lze zadat identitu pro roaming nebo můžete použít formát %domain%\%username% jako výchozí formát pro zadání identity pro roaming.

Používáte-li server 802.1X Microsoft IAS RADIUS jako ověřovací, tento server ověřuje zařízení pomocí uživatelského jména Identita pro roaming z aplikace Intel® PROSet/Wireless WiFi a ignoruje uživatelské jméno Protokolu pro ověřování MS-CHAP-V2. Jako identitu pro roaming přijímá server Microsoft IAS RADIUS pouze platné uživatelské jméno (uživatel dotNet). U všech ostatních ověřovacích serverů je identita pro roaming volitelná. Z tohoto důvodu doporučujeme nepoužívat jako identitu pro roaming skutečnou identitu, ale požadovanou sféru (například anonym@sfera).

Klepnutím na tlačítko Další přejděte na nastavení Server TTLS.

Krok 2 ze 2: Server TTLS

Vyberte jednu z následujících metod získání pověření: Ověřit certifikát serveru nebo Zadat název serveru nebo certifikátu.
Klepnutím na tlačítko OK uložíte nastavení a zavřete stránku.

Vytvoření profilu s ověřováním v síti PEAP

Ověřování PEAP: Nastavení PEAP je vyžadováno pro ověření klienta na ověřovacím serveru. Klient používá protokol EAP-TLS k ověření serveru a vytvoření kanálu šifrovaného v TLS mezi klientem a serverem. Klient může v šifrovacím kanálu k aktivaci ověření serveru použít jiný mechanismus EAP, například protokol MS-CHAP (Microsoft Challenge Authentication Protocol) verze 2. Balíčky s dotazem a odpovědí jsou odesílány šifrovaným neveřejným kanálem TLS. Následující příklad popisuje použití WPA se šifrováním AES-CCMP nebo TKIP s použitím ověřování PEAP.

Mapování profilu

Tento profil bude vyexportován odlišně pro klienty se systémem Windows* XP a pro klienty se systémem Windows Vista* a Windows* 7. Další informace najdete v části Mapování profilů PEAP.

Vytvoření profilu s ověřováním PEAP

Získejte a nainstalujte klientský certifikát. Další informace najdete v části Vytvoření profilu pro systém Windows* XP s ověřováním TLS nebo se obraťte na správce.

V hlavním okně nástroje pro připojení WiFi klepněte na tlačítko Profily.... Pokud vystupujete jako správce, otevřete Nástroj správce.
V seznamu profilů klepnutím na tlačítko Přidat otevřete okno Vytvořit profil WiFi sítě – Obecná nastavení.
Název profilu: Zadejte popisný název profilu.
Název WiFi sítě (SSID): Zadejte identifikátor sítě.
Provozní režim: Klepněte na možnost Síť (Infrastruktura). (Pokud používáte Nástroj správce, je tento parametr nastaven na možnost Infrastruktura.)
Typ profilu správce: Vyberte možnost Trvalý nebo Před přihlášením/Běžný. (Tento krok platí, jen pokud používáte Nástroj správce.
Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
Klepněte na položku Podnikové zabezpečení.
Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky (doporučeno).
Šifrování dat: Vyberte jednu z následujících možností: Doporučena je možnost AES-CCMP.
Povolit 802.1X: Vybráno jako výchozí.
Typ ověření: Vyberte ověřování PEAP, které má být použito s tímto připojením.

Krok 1 ze 2: Uživatel PEAP

Protokol PEAP využívá protokol TLS (Transport Layer Security) k zajišťování podpory nezašifrovaných typů ověřování, jako je například karta EAP GTC Generic Token Card) a jednorázové heslo OTP (One-Time Password).

Protokol pro ověřování: Vyberte možnost GTC, MS-CHAP-V2 (výchozí) nebo TLS. Viz Ověřovací protokoly.
Pověření uživatele: Dále jsou uvedeny dostupné možnosti pro položku Pověření uživatele. Dostupná pověření nemusí odpovídat zde uvedeným pověřením v závislosti na tom, zda vytváříte profil v systému Windows* XP nebo vytváříte profil správce IT pro systém Windows XP, Windows Vista nebo Windows* 7. Další informace jsou uvedeny dále v tomto oddílu.
- Pro ověřování GTC lze položku Pověření uživatele nastavit na možnost Použít přihlášení systému Windows, Zobrazit výzvu při každém připojení nebo Použít následující (což vyžaduje uživatelské jméno, doménu a heslo). Dostupné možnosti se také liší podle toho, zda se jedná o trvalý či netrvalý profil (vybráno v okně Obecná nastavení pro profily správce).
- Pro ověřování MS-CHAP-V2 lze položku Pověření uživatele nastavit na možnost Použít přihlášení systému Windows, Zobrazit výzvu při každém připojení nebo Použít následující (což vyžaduje uživatelské jméno, doménu a heslo). Dostupné možnosti se také liší podle toho, zda se jedná o trvalý či netrvalý profil (vybráno v okně Obecná nastavení pro profily správce). Pro trvalé profily správce IT lze položku Pověření uživatele nastavit na možnost Použít následující nebo Použít zabezpečené heslo. Zabezpečené heslo používá pověření počítače a není svázáno s konkrétním uživatelem.
- Pro ověřování TLS a jednouživatelský profil v systému Windows* XP lze položku Pověření uživatele nastavit na možnost Použít přihlášení systému Windows, Zobrazit výzvu při každém připojení nebo Použít následující (což vyžaduje uživatelské jméno, doménu a heslo). Pro netrvalé profily správce (vybráno v okně Obecná nastavení) lze zvolit jednu z následujících možností: Použít moji kartu Smart, Použít certifikát vystavený pro tento počítač nebo Použít certifikát uživatele v tomto počítači. Pro trvalé profily správce IT lze položku Pověření uživatele nastavit na možnost Použít certifikát vystavený pro tento počítač.
Identita pro roaming: Do tohoto pole lze zadat identitu pro roaming nebo můžete použít formát %domain%\%username% jako výchozí formát pro zadání identity pro roaming.

Používáte-li server 802.1X Microsoft IAS RADIUS jako ověřovací, tento server ověřuje zařízení pomocí uživatelského jména Identita pro roaming z aplikace Intel® PROSet/Wireless WiFi a ignoruje uživatelské jméno Protokolu pro ověřování MS-CHAP-V2. Jako identitu pro roaming přijímá server Microsoft IAS RADIUS pouze platné uživatelské jméno (uživatel dotNet). U všech ostatních ověřovacích serverů je identita pro roaming volitelná. Z tohoto důvodu doporučujeme nepoužívat jako identitu pro roaming skutečnou identitu, ale požadovanou sféru (například anonym@sfera).

Konfigurace identity pro roaming k podpoře více uživatelů:

Jestliže používáte profil Před přihlášením/Běžný, který vyžaduje identitu pro roaming založenou na přihlašovacích údajích systému Windows, může autor profilu přidat identitu pro roaming, která používá proměnné %username% a %domain%. Identita pro roaming bude analyzována a klíčová slova budou nahrazena příslušnými přihlašovacími informacemi. Tento způsob poskytuje maximální flexibilitu při konfiguraci identity pro roaming a současně umožňuje sdílení profilu mezi více uživateli.

Informace o vhodném formátu identity pro roaming naleznete v uživatelské příručce k ověřovacímu serveru. Možné formáty jsou:

%domain%\%user_name%
%user_name%@%domain%
%user_name%@%domain%.com
%user_name%@mynetwork.com

Je-li pole Identita pro roaming prázdné, je jako výchozí použita identita %domain%\%username%.

Poznámky k pověření: Toto uživatelské jméno a doména musí být totožné s uživatelským jménem, které před ověřováním klienta nastavil správce na ověřovacím serveru. Uživatelské jméno rozlišuje velká a malá písmena. Tento název určuje identitu, kterou ověřovateli dodal ověřovací protokol, který funguje v tunelu TLS. Identita uživatele je bezpečně přenesena na server pouze poté, co byl ověřen a zřízen šifrovaný kanál.

Ověřovací protokoly

Tento parametr určuje protokol pro ověřování, který může fungovat v tunelu TTLS. Následují pokyny k nakonfigurování profilu, který používá ověřování PEAP s ověřovacími protokoly GTC, MS-CHAP-V2 (výchozí) nebo TLS. Vybraná pověření uživatele jsou příklady.

GTC (Generic Token Card)

Konfigurace jednorázového hesla:

Protokol pro ověřování: Vyberte možnost GTC (Generic Token Card).
Pověření uživatele: Vyberte možnost Zobrazit výzvu při každém připojení. (Tato volba je k dispozici, jen pokud vytváříte osobní profil v počítači se systémem Windows* XP. Není k dispozici pro profily IT.)
Po připojení vyžádat: Vyberte jednu z následujících možností:

Název Popis

Statické heslo Při připojení zadejte pověření uživatele.

Jednorázové heslo (OTP) Získání hesla z hardwarového tokenu.

Kód PIN (softwarový token) Získání hesla ze softwarového tokenu.

Název	Popis
Statické heslo	Při připojení zadejte pověření uživatele.
Jednorázové heslo (OTP)	Získání hesla z hardwarového tokenu.
Kód PIN (softwarový token)	Získání hesla ze softwarového tokenu.

Klepněte na tlačítko OK.
Vyberte profil ze seznamu bezdrátových sítí.
Klepněte na tlačítko Připojit. Po zobrazení výzvy zadejte uživatelské jméno, doménu a jednorázové heslo (OTP).
Klepněte na tlačítko OK. Zobrazí se výzva k ověření přihlašovacích údajů.

jednorázové heslo

MS-CHAP-V2: Tento parametr určuje protokol pro ověřování, který funguje v tunelu PEAP.

Pověření uživatele: Vyberte jednu z následujících možností: Použít přihlášení systému Windows, Zobrazit výzvu při každém připojení nebo Použít následující. Pro trvalé profily jsou k dispozici možnosti Použít následující nebo Použít zabezpečené heslo.
Klepnutím na tlačítko Další přejděte na stránku Server PEAP.

TLS: Ověřování TLS (Transport Layer Security) je obousměrná metoda ověřování, která pro ověření identity klienta a serveru používá výhradně digitální certifikáty.

Získejte a nainstalujte klientský certifikát. Další informace najdete v části Vytvoření profilu pro systém Windows* XP s ověřováním TLS nebo se obraťte na správce systému.
Vyberte některou z následujících možností získání certifikátu: Použít moji kartu Smart, Použít certifikát vystavený pro tento počítač nebo Použít certifikát uživatele v tomto počítači. Pokud se jedná o trvalý profil správce, je k dispozici pouze možnost Použít certifikát vystavený pro tento počítač.
Klepnutím na tlačítko Další přejděte na stránku Server PEAP.

Krok 2 ze 2: Server PEAP

Vyberte jednu z následujících metod získání pověření: Ověřit certifikát serveru nebo Zadat název serveru nebo certifikátu.
Klepněte na tlačítko OK. Profil bude přidán do seznamu profilů.
Klepněte na nový profil na konci seznamu profilů. Ke změně priority nového profilu použijte šipky nahoru a dolů.
Připojte se k vybrané bezdrátové síti klepnutím na tlačítko Připojit.

Jestliže jste na stránce Nastavení zabezpečení nevybrali možnost Použít přihlášení systému Windows ani jste nenakonfigurovali pověření uživatele, nebude pro tento profil uloženo žádné pověření. Zadejte pověření k ověření přístupu do sítě.

Ukončete nástroj klepnutím na tlačítko OK.

Vytvoření profilu s ověřováním v síti LEAP

Protokol Cisco LEAP (Light Extensible Authentication Protocol) je ověřování typu 802.1X, které podporuje silné vzájemné ověřování mezi klientem a serverem RADIUS. Nastavení profilů LEAP zahrnuje LEAP, CKIP se zabudovaným zjišťováním nebezpečných přístupových bodů.

Mapování profilu

Tento profil bude vyexportován odlišně pro klienty se systémem Windows* XP a pro klienty se systémem Windows Vista* a Windows* 7. Další informace najdete v části Mapování profilů LEAP.

Vytvoření profilu s ověřováním LEAP

V hlavním okně nástroje pro připojení WiFi klepněte na tlačítko Profily.... Pokud vystupujete jako správce, otevřete Nástroj správce.
Klepněte na tlačítko Přidat v seznamu profilů. Otevře se okno Vytvořit profil bezdrátové sítě – Obecná nastavení.
Název profilu: Zadejte popisný název profilu.
Název WiFi sítě (SSID): Zadejte identifikátor sítě.
Provozní režim: Klepněte na možnost Síť (Infrastruktura). (Pokud používáte Nástroj správce, je tento parametr nastaven na možnost Infrastruktura.)
Typ profilu správce: Vyberte možnost Trvalý nebo Před přihlášením/Běžný. (Tento krok platí, jen pokud používáte Nástroj správce.
Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
Klepněte na položku Podnikové zabezpečení.
Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky (doporučeno).
Šifrování dat: Doporučena je možnost AES-CCMP.
Povolit 802.1X: Vybráno jako výchozí.
Typ ověření: Vyberte ověřování LEAP, které má být použito s tímto připojením.
Klepněte na tlačítko Možnosti Cisco.
Klepnutím na položku Povolit Cisco Compatible Extensions povolte zabezpečení CCX (Cisco Compatible Extensions, Kompatibilní rozšíření Cisco) (Povolit rychlý roaming (CCKM), Povolit podporu řízení rádia a Povolit režim smíšených buněk).

rozšíření cisco

Chcete-li zjišťovat nebezpečné přístupové body, klepněte na možnost Povolit podporu řízení rádia.
Klepnutím na tlačítko OK se vraťte na stranu Nastavení zabezpečení.

Uživatel LEAP:

Vyberte jednu z níže uvedených možností ověření. Pokud jste v části Typ profilu správce vybrali možnost Trvalý (bez ohledu na to, zda jste vybrali možnost Před přihlášením/Běžný), bude k dispozici jen možnost Použít následující uživatelské jméno a heslo. Jestliže jste vybrali pouze možnost Před přihlášením/Běžný, budou k dispozici následující tři možnosti ověření.

Klepnutím na tlačítko OK uložíte nastavení a zavřete stránku.

Vytvoření profilu s ověřováním v síti EAP-FAST

V kompatibilních rozšířeních Cisco verze 3 (CCXv3) společnost Cisco přidala podporu protokolu EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling), který používá certifikáty PAC (Protected Access Credentials) k vytvoření ověřeného tunelu mezi klientem a serverem. Kompatibilní rozšíření Cisco verze 4 (CCXv4) zlepšují metody zajišťování pro zvýšení zabezpečení a poskytují nové funkce k dosažení vyššího zabezpečení, mobility, kvality služeb a správy sítě.

Mapování profilu

Tento profil bude vyexportován odlišně pro klienty se systémem Windows* XP a pro klienty se systémem Windows Vista* a Windows* 7. Další informace najdete v části Mapování profilů EAP-FAST.

Vytvoření profilu s ověřováním EAP-FAST pomocí rozšíření Cisco Compatible Extensions verze 3 (CCXv3)

V hlavním okně nástroje pro připojení WiFi klepněte na tlačítko Profily.... Pokud vystupujete jako správce, otevřete Nástroj správce.
V seznamu profilů klepnutím na tlačítko Přidat otevřete okno Vytvořit profil WiFi sítě – Obecná nastavení.
Název WiFi sítě (SSID): Zadejte identifikátor sítě.
Název profilu: Zadejte popisný název profilu.
Provozní režim: Klepněte na možnost Síť (Infrastruktura). (Pokud používáte Nástroj správce, je tento parametr nastaven na možnost Infrastruktura.)
Typ profilu správce: Vyberte možnost Trvalý nebo Před přihlášením/Běžný. (Tento krok platí, jen pokud používáte Nástroj správce.
Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
Klepněte na položku Podnikové zabezpečení.
Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky (doporučeno).
Šifrování dat: Doporučena je možnost AES-CCMP.
Povolit 802.1X: Vybráno jako výchozí.
Typ ověření: Vyberte ověřování EAP-FAST, které má být použito s tímto připojením.

POZNÁMKA: Pokud nebylo prostřednictvím Balíčku správce nainstalováno nastavení aplikace CCXv4, lze konfigurovat jen uživatelské nastavení EAP-FAST. Viz Uživatelské nastavení EAP-FAST.

Krok 1 ze 2: Zajišťování EAP-FAST

Klepnutím na možnost Zakázat rozšíření EAP-FAST (CCXv4) povolíte zajišťování v tunelu TLS neověřovaném serverem (režim zajišťování bez ověřování serverem TLS).
Klepnutím na tlačítko Vybrat server zobrazíte všechny neověřené certifikáty PAC, které již byly zajištěny a nacházejí se v tomto počítači. (Tato možnost není k dispozici pro profily správce. Je k dispozici pouze pro uživatelské profily v počítačích se systémem Windows* XP.)

POZNÁMKA: Je-li zajištěný certifikát PAC platný, nástroj pro připojení WiFi nevyzve uživatele k jeho přijetí. Je-li certifikát PAC neplatný, nástroj pro připojení WiFi automaticky ukončí zajišťování s neúspěchem. V Prohlížeči událostí Wireless Event Viewer se zobrazí stavová zpráva, kterou si může správce přečíst v počítači uživatele.

Import certifikátu PAC: (Tato možnost není k dispozici pro profily správce. Je k dispozici pouze pro uživatelské profily v počítačích se systémem Windows* XP.)

Klepnutím na tlačítko Vybrat server otevřete seznam Pověření zabezpečeného přístupu (PAC).
Klepnutím na tlačítko Importovat naimportujte certifikát PAC, který se nachází v počítači nebo na serveru.
Vyberte certifikát PAC a klepněte na tlačítko Otevřít.
Zadejte heslo certifikátu PAC (volitelné).
Zavřete stránku klepnutím na tlačítko OK. Vybraný certifikát PAC bude přidán do seznamu certifikátů PAC.

Klepnutím na tlačítko Další vyberte metodu získání pověření nebo klepnutím na tlačítko OK uložte nastavení EAP-FAST a vraťte se do seznamu profilů. Certifikát PAC bude použit pro tento profil bezdrátové komunikace.

Krok 2 ze 2: Další informace EAP-FAST

Ověření klienta ve vytvořeném tunelu bude provedeno tak, že klient odešle uživatelské jméno a heslo k ověření a vytvoření zásad schválení klienta.

Klepnutím na položku Pověření uživatele vyberte jednu z následujících metod získání pověření: Použít přihlášení systému Windows, Zobrazit výzvu při každém připojení nebo Použít následující.
Klepnutím na tlačítko OK uložíte nastavení a zavřete stránku. Ověření serveru není vyžadováno.

Vytvoření profilu s ověřováním EAP-FAST pomocí rozšíření Cisco Compatible Extensions verze 4 (CCXv4)

V hlavním okně nástroje pro připojení WiFi klepněte na tlačítko Profily.... Pokud vystupujete jako správce, otevřete Nástroj správce.
V seznamu profilů klepnutím na tlačítko Přidat otevřete okno Vytvořit profil WiFi sítě – Obecná nastavení.
Název WiFi sítě (SSID): Zadejte identifikátor sítě.
Název profilu: Zadejte popisný název profilu.
Provozní režim: Klepněte na možnost Síť (Infrastruktura). (Pokud používáte Nástroj správce, je tento parametr nastaven na možnost Infrastruktura.)
Typ profilu správce: Vyberte možnost Trvalý nebo Před přihlášením/Běžný. (Tento krok platí, jen pokud používáte Nástroj správce.
Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
Klepněte na položku Podnikové zabezpečení.
Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky (doporučeno).
Šifrování dat: Doporučena je možnost AES-CCMP.
Povolit 802.1X: Vybrané.
Typ ověření: Vyberte ověřování EAP-FAST, které má být použito s tímto připojením.

zajišťování eap-fast

Krok 1 z 3: Zajišťování EAP-FAST

Při použití rozšíření CCXv4 protokol EAP-FAST podporuje dva režimy zajišťování:

Režim s ověřováním pomocí serveru: Zajišťování v tunelu TLS ověřovaném serverem TLS.
Režim bez ověřování pomocí serveru: Zajišťování v neověřovaném tunelu TLS.

POZNÁMKA: Režim s ověřováním pomocí serveru poskytuje značné bezpečnostní výhody oproti režimu bez ověřování pomocí serveru, a to i v případě, že je jako vnitřní metoda použit protokol EAP-MS-CHAP-V2. Tento režim chrání datové výměny EAP-MS-CHAP-V2 před potenciálními útoky prostředníků ověřením pravosti serveru před výměnou MS-CHAP-V2. Režim s ověřováním pomocí serveru je proto upřednostňován, kdykoli jej lze použít. V rámci bezpečnostních zásad musí druhá strana komunikující pomocí protokolu EAP-FAST použít režim s ověřováním pomocí serveru, kdykoli je k dispozici certifikát nebo veřejný klíč k ověření serveru.

Zajišťování certifikátu PAC (Protected Access Credentials):

Ověřování EAP-FAST používá klíč PAC pro ochranu vyměňovaných pověření uživatele. Všichni ověřovatelé EAP-FAST jsou identifikováni identitou certifikačního úřadu (A-ID). Místní ověřovatel odešle jeho A-ID schvalovacímu klientovi a tento klient vyhledá ve své databázi shodné A-ID. Pokud klient nerozpozná A-ID, vyžádá nový certifikát PAC.

POZNÁMKA: Je-li zajištěný certifikát PAC platný, nástroj pro připojení WiFi nevyzve uživatele k jeho přijetí. Je-li certifikát PAC neplatný, nástroj pro připojení WiFi automaticky ukončí zajišťování s neúspěchem. V Prohlížeči událostí Wireless Event Viewer se zobrazí stavová zpráva, kterou si může správce přečíst v počítači uživatele.

Ověřte, že není vybrána možnost Zakázat rozšíření EAP-FAST (CCXv4). Možnosti Povolit neověřené zajišťování a Povolit ověřené zajišťování jsou vybrány jako výchozí. Po výběru certifikátu PAC v poli Výchozí server můžete výběr kterékoli z těchto metod zajišťování zrušit.
Výchozí server: Výchozí nastavení je Žádné. Klepnutím na tlačítko Vybrat server vyberte certifikát PAC z výchozího serveru certifikačního úřadu PAC nebo vyberte server v seznamu Skupina serverů. Zobrazí se okno výběru Výchozí server EAP-FAST (certifikační úřad PAC).

POZNÁMKA: Skupiny serverů jsou uvedeny, jen pokud jste nainstalovali Balíček správce obsahující nastavení skupin identifikátorů certifikačního úřadu (A-ID) EAP-FAST.

Certifikát PAC lze také distribuovat ručně (bez síťového přenosu). Pomocí ručního zajištění lze vytvořit certifikát PAC pro uživatele na serveru ACS a potom jej naimportovat do počítače uživatele. Soubor PAC může být chráněn heslem, které musí uživatel zadat při importu souboru.

Import certifikátu PAC:
1. Klepnutím na tlačítko Importovat naimportujte certifikát PAC ze serveru PAC.
2. Klepněte na tlačítko Otevřít.
3. Zadejte heslo certifikátu PAC (volitelné).
4. Zavřete stránku klepnutím na tlačítko OK. Vybraný certifikát PAC bude použit pro tento profil bezdrátové komunikace.

Protokol EAP-FAST CCXv4 umožňuje podporovat zajišťování dalších pověření kromě certifikátu PAC, který je aktuálně zajištěn k vytvoření tunelu. K podporovaným typům pověření patří certifikát důvěryhodného certifikačního úřadu, pověření počítače pro ověření počítače a dočasná pověření uživatele používaná k obcházení ověřování uživatele.

Použít certifikát (ověřování TLS)

Klepněte na možnost Použít certifikát (ověřování TLS)
Pokud je tunel chráněn, klepněte na možnost Ochrana identity.
Vyberte některou z následujících možností získání certifikátu: Použít moji kartu Smart, Použít certifikát vystavený pro tento počítač nebo Použít certifikát uživatele v tomto počítači.
Uživatelské jméno: Zadejte uživatelské jméno přiřazené uživatelskému certifikátu.
Klepněte na tlačítko Další.

Krok 2 z 3: Další informace EAP-FAST

Pokud jste vybrali možnost Použít certifikát (ověřování TLS) a Použít certifikát uživatele v tomto počítači, klepněte na tlačítko Další (identita pro roaming není vyžadována) a pokračujte krokem 3, kde nakonfigurujete nastavení certifikátu serveru EAP-FAST. Jestliže konfigurace nastavení serveru EAP-FAST není nutná, klepnutím na tlačítko OK uložte nastavení a vraťte se na stránku Profily.

Pokud jste vybrali možnost Použít moji kartu Smart, přidejte identitu pro roaming, je-li vyžadována. Klepnutím na tlačítko OK uložte nastavení a vraťte se na stránku Profily.

Jestliže jste nevybrali možnost Použít certifikát (ověřování TLS), klepněte na tlačítko Další a vyberte ověřovací protokol. Rozšíření CCXv4 umožňují vytvořit tunel pomocí dalších pověření nebo šifrovacích sad TLS.

Protokol pro ověřování: Vyberte možnost GTC nebo MS-CHAP-V2 (výchozí).

GTC (Generic Token Card)

Možnost GTC lze použít s režimem ověřováním pomocí serveru. Lze tak v pásmu zajišťovat subjekty, které používají jiné uživatelské databáze, například LDAP (Lightweight Directory Access Protocol), a technologii jednorázového hesla (OTP). Této náhrady je však možné dosáhnout jen při použití šifrovacích sad TLS, které zajišťují ověření serveru.

Konfigurace jednorázového hesla:

Protokol pro ověřování: Vyberte možnost GTC (Generic Token Card).
Pověření uživatele: Vyberte možnost Zobrazit výzvu při každém připojení.
Po připojení vyžádat: Vyberte jednu z následujících možností:

Název Popis

Statické heslo Při připojení zadejte pověření uživatele.

Jednorázové heslo (OTP) Získání hesla z hardwarového tokenu.

Kód PIN (softwarový token) Získání hesla ze softwarového tokenu.

Název	Popis
Statické heslo	Při připojení zadejte pověření uživatele.
Jednorázové heslo (OTP)	Získání hesla z hardwarového tokenu.
Kód PIN (softwarový token)	Získání hesla ze softwarového tokenu.

Klepněte na tlačítko OK.
Vyberte profil ze seznamu bezdrátových sítí.
Klepněte na tlačítko Připojit. Po zobrazení výzvy zadejte uživatelské jméno, doménu a jednorázové heslo (OTP).
Klepněte na tlačítko OK.

MS-CHAP-V2. Tento parametr určuje protokol pro ověřování, který funguje v tunelu PEAP.

Protokol pro ověřování: Vybrat MS-CHAP-V2.
Vyberte pověření uživatele: Použít přihlášení systému Windows, Zobrazit výzvu při každém připojení nebo Použít následující.
Identita pro roaming: Do tohoto pole lze zadat identitu pro roaming nebo můžete použít formát %domain%\%username% jako výchozí formát pro zadání identity pro roaming.

Používáte-li server 802.1X Microsoft IAS RADIUS jako ověřovací, tento server ověřuje zařízení pomocí uživatelského jména Identita pro roaming z aplikace Intel® PROSet/Wireless WiFi a ignoruje uživatelské jméno Protokolu pro ověřování MS-CHAP-V2. Jako identitu pro roaming přijímá server Microsoft IAS RADIUS pouze platné uživatelské jméno (uživatel dotNet). U všech ostatních ověřovacích serverů je identita pro roaming volitelná. Z tohoto důvodu doporučujeme nepoužívat jako identitu pro roaming skutečnou identitu, ale požadovanou sféru (například anonym@sfera).

Krok 3 z 3: Server EAP-FAST

Režim zajišťování s ověřováním serverem TLS je podporován s použitím certifikátu důvěryhodného certifikačního úřadu, certifikátu serveru s vlastním podpisem nebo veřejných klíčů serveru a GTC jako vnitřní metody EAP.

Vyberte jednu z následujících metod získání pověření: Ověřit certifikát serveru nebo Zadat název serveru nebo certifikátu.
Klepnutím na tlačítko OK zavřete nastavení zabezpečení.

Uživatelské nastavení EAP-FAST

POZNÁMKA: Pokud balíček správce, který má být exportován do počítače uživatele, neobsahuje nastavení aplikace Nástroje správce Povolit CCXv4, bude možné konfigurovat jen uživatelské nastavení EAP-FAST.

Nastavení ověřování EAP-FAST na klientovi:

V hlavním okně nástroje pro připojení WiFi klepněte na tlačítko Profily.... Pokud vystupujete jako správce, otevřete Nástroj správce.
Na stránce Profil klepnutím na tlačítko Přidat otevřete stránku Obecná nastavení okna Vytvořit profil bezdrátové sítě.
Název WiFi sítě (SSID): Zadejte identifikátor sítě.
Název profilu: Zadejte popisný název profilu.
Provozní režim: Klepněte na možnost Síť (Infrastruktura). (Pokud používáte Nástroj správce, je tento parametr nastaven na možnost Infrastruktura.)
Typ profilu správce: Vyberte možnost Trvalý nebo Před přihlášením/Běžný. (Tento krok platí, jen pokud používáte Nástroj správce.
Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
Klepněte na položku Podnikové zabezpečení.
Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky.
Šifrování dat: Vyberte jednu z následujících možností:
- Protokol TKIP poskytuje kombinování klíčů v paketech, kontrolu integrity zpráv (MIC) a mechanismus vystavování nových klíčů.
- AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) se používá jako způsob šifrování dat, pokud je důležitá silná ochrana dat. Doporučena je možnost AES-CCMP.
Povolit 802.1X: Vybrané.
Typ ověření: Vyberte ověřování EAP-FAST, které má být použito s tímto připojením.
Klepněte na tlačítko Možnosti Cisco a vyberte možnost Povolit rychlý roaming (CCKM), která umožní rychlý zabezpečený roaming klientského bezdrátového adaptéru.

Krok 1 z 3: Zajišťování EAP-FAST (uživatelské nastavení)

Políčko Zakázat rozšíření EAP-FAST (CCXv4) ponechejte nezaškrtnuté.
Možnosti Povolit ověřené zajišťování a Povolit neověřené zajišťování jsou obě zaškrtnuty.
Výchozí server: Ve výchozím nastavení není vybrán žádný. Klepnutím na tlačítko Vybrat server vyberte certifikát PAC z výchozího serveru certifikačního úřadu PAC. Otevře se stránka pro výběr certifikátu PAC.

POZNÁMKA: Skupiny serverů jsou uvedeny, jen pokud jste nainstalovali Balíček správce obsahující nastavení skupin identifikátorů certifikačního úřadu (A-ID) EAP-FAST.

Certifikát PAC lze také distribuovat ručně (bez síťového přenosu). Pomocí ručního zajištění lze vytvořit certifikát PAC pro uživatele na serveru ACS a potom jej naimportovat do počítače uživatele. Soubor PAC může být chráněn heslem, které musí uživatel zadat při importu souboru.

Import certifikátu PAC:

Klepnutím na tlačítko Importovat naimportujte certifikát PAC ze serveru PAC.
Klepněte na tlačítko Otevřít.
Zadejte heslo certifikátu PAC (volitelné).
Zavřete stránku klepnutím na tlačítko OK. Vybraný certifikát PAC bude použit pro tento profil bezdrátové komunikace.

Klepněte na tlačítko Další.
Pokud se nejedná o profil Před přihlášením/Běžný, pak klepnutím na tlačítko Další přejděte na krok 3 ze 3: Server EAP-FAST.
Pokud se jedná o profil Před přihlášením/Běžný nebo jestliže k vytvoření tohoto profilu nepoužíváte Nástroj správce, pokračujte dalším krokem.

Krok 2 z 3: Další informace EAP-FAST

Protokol pro ověřování: Vyberte možnost MS-CHAP-V2 nebo GTC.
Pověření uživatele: Vyberte možnost Použít přihlášení systému Windows nebo Použít následující.
Pokud jste vybrali možnost Použít následující, zadejte uživatelské jméno, doménu, heslo a potvrzení hesla.
Zadejte identitu pro roaming: %DOMAIN%\%USERNAME
Klepněte na tlačítko Další.

Krok 3 z 3: Server EAP-FAST

Chcete-li, klepněte na položku Ověřit certifikát serveru a v rozevíracím seznamu vyberte vystavitele certifikátu. Jako výchozí je vybrána možnost Jakýkoli důvěryhodný certifikační úřad.
Chcete-li, klepněte na položku Zadat název serveru nebo certifikátu a zadejte název. Potom klepněte na položku Název serveru se musí přesně shodovat nebo Název domény musí končit zadaným názvem. Název serveru může obsahovat všechny znaky včetně speciálních.
Klepněte na tlačítko OK.

Zpět na začátek

Zpět na obsah

Ochranné známky a právní dodatky