สร้างส่วนกำหนดค่าสำหรับ Windows*
ส่วนนี้อธิบายวิธีการสร้างส่วนกำหนดค่าสำหรับ Windows* XP, Windows Vista* และ Windows* 7
เครือข่ายโครงสร้างพื้นฐานประกอบด้วยจุดเชื่อมต่ออย่างน้อยหนึ่งจุด และคอมพิวเตอร์อย่างน้อยหนึ่งเครื่องที่ติดตั้งอแด็ปเตอร์ WiFi จุดเชื่อมต่อแต่ละจุดจะต้องมีการเชื่อมต่อผ่านสายที่เข้ากับเครือข่าย WiFi ส่วนนี้จะอธิบายถึงวิธีการสร้างส่วนกำหนดค่า WiFi ที่หลากหลาย
สร้างส่วนกำหนดค่า โดยไม่ใช้การตรวจสอบความถูกต้องหรือการเข้ารหัสข้อมูล (ไม่มี)
ข้อควรระวัง: เครือข่ายที่ไม่ได้ใช้การตรวจสอบความถูกต้องหรือการเข้ารหัสอาจถูกเข้าถึงโดยผู้ใช้ที่ไม่ได้รับอนุญาต
การสร้างส่วนกำหนดค่าสำหรับการเชื่อมต่อเครือข่ายไร้สายที่ไม่มีการเข้ารหัส:
-
คลิก ส่วนกำหนดค่า... บนหน้าต่างหลักของยูทิลิตีการเชื่อมต่อ Intel® PROSet/Wireless WiFi
หรือถ้าคุณทำหน้าที่เป็นผู้ดูแลระบบ ให้เปิด เครื่องมือผู้ดูแลระบบ
- บนรายการ หรือ แท็บส่วนกำหนดค่า คลิก เพิ่ม เพื่อเปิด การตั้งค่าทั่วไปของการสร้างส่วนกำหนดค่า WiFi
- ชื่อส่วนกำหนดค่า: ป้อนชื่อส่วนกำหนดค่าที่บ่งบอกความหมายได้
- ชื่อเครือข่าย WiFi (SSID): ป้อนตัวระบุเครือข่าย
- โหมดการทำงาน: คลิก เครือข่าย (โครงสร้างพื้นฐาน) (พารามิเตอร์นี้ถูกตั้งไว้ที่โครงสร้างพื้นฐานถ้าคุณใช้เครื่องมือผู้ดูแลระบบ)
- ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ: เลือก แบบต่อเนื่อง หรือ แบบล็อกออนล่วงหน้า/ทั่วไป (ขั้นตอนนี้ใช้ได้เฉพาะในกรณีที่คุณใช้เครื่องมือผู้ดูแลระบบเท่านั้น)
- คลิก ถัดไป เพื่อเปิด การตั้งค่าความปลอดภัย
- คลิก ความปลอดภัยองค์กร
- การตรวจสอบความถูกต้องเครือข่าย: เปิด (ถูกเลือกไว้)
การตรวจสอบความถูกต้องแบบเปิดจะช่วยให้อุปกรณ์ไร้สายสามารถเข้าใช้เครือข่าย โดยไม่มีการตรวจสอบความถูกต้อง 802.11 หากไม่ได้เปิดใช้การเข้ารหัสบนเครือข่าย อุปกรณ์ไร้สายใดๆ ที่มีชื่อเครือข่ายที่ถูกต้อง (SSID) จะสามารถเชื่อมโยงกับจุดเชื่อมต่อ และสามารถเข้าใช้เครือข่ายได้
- การเข้ารหัสข้อมูล: ไม่มี เป็นค่าเริ่มต้น
- คลิก ตกลง ส่วนกำหนดค่าได้รับการเพิ่มในรายการส่วนกำหนดค่า และเชื่อมต่อกับเครือข่ายไร้สาย
สร้างส่วนกำหนดค่า โดยใช้การตรวจสอบความถูกต้องเครือข่ายที่ใช้ร่วมกัน
เมื่อใช้การตรวจสอบความถูกต้องแบบคีย์ที่ใช้ร่วมกัน สถานีไร้สายแต่ละสถานีจะถูกคาดหมายว่าได้รับคีย์ที่ใช้ร่วมกันผ่านแชนเนลที่ปลอดภัยซึ่งแยกอิสระจากแชนเนลการสื่อสารของเครือข่ายไร้สาย 802.11 การตรวจสอบความถูกต้องแบบคีย์ที่ใช้ร่วมกันกำหนดว่าเครื่องลูกข่ายจะต้องตั้งค่าคีย์ WEP หรือ CKIP แบบคงที่ เครื่องลูกข่ายจะสามารถเข้าใช้เครือข่ายเฉพาะในกรณีที่ผ่านการตรวจสอบแบบใช้คำถาม CKIP มีการเข้ารหัสข้อมูลที่ดีกว่า WEP แต่ไม่ใช่ทุกระบบปฏิบัติการและจุดเชื่อมต่อที่สนับสนุนคีย์แบบนี้
หมายเหตุ: ขณะที่คีย์ที่ใช้ร่วมกันดูเหมือนจะเป็นตัวเลือกที่ดีกว่าสำหรับระดับความปลอดภัยที่สูงขึ้น แต่ก็มีจุดอ่อนซึ่งเกิดขึ้นจากการส่งข้อความว่างของสายอักขระไปยังเครื่องลูกข่าย และหากมีผู้ใดใช้เครื่องมือซอฟต์แวร์เพื่อตรวจหาข้อความว่างของสายอักขระ ก็จะสามารถทำวิศวกรรมย้อนกลับสำหรับคีย์การตรวจสอบความถูกต้องที่ใช้ร่วมกันได้อย่างง่ายดาย ดังนั้น ในความเป็นจริงการตรวจสอบความถูกต้องแบบเปิด (โดยใช้การเข้ารหัสข้อมูล) จึงมีความปลอดภัยมากกว่า
การสร้างส่วนกำหนดค่าที่มีการตรวจสอบความถูกต้องแบบใช้ร่วมกัน:
-
คลิก ส่วนกำหนดค่า... บนหน้าต่างหลักของยูทิลิตีการเชื่อมต่อ WiFi
หรือถ้าคุณทำหน้าที่เป็นผู้ดูแลระบบ ให้เปิด เครื่องมือผู้ดูแลระบบ
- บนรายการ หรือ แท็บส่วนกำหนดค่า คลิก เพิ่ม เพื่อเปิด การตั้งค่าทั่วไปของการสร้างส่วนกำหนดค่า WiFi
- ชื่อส่วนกำหนดค่า: ป้อนชื่อส่วนกำหนดค่าที่บ่งบอกความหมายได้
- ชื่อเครือข่าย WiFi (SSID): ป้อนตัวระบุเครือข่าย
- โหมดการทำงาน: คลิก เครือข่าย (โครงสร้างพื้นฐาน) (พารามิเตอร์นี้ถูกตั้งไว้ที่โครงสร้างพื้นฐานถ้าคุณใช้เครื่องมือผู้ดูแลระบบ)
- ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ: เลือก แบบต่อเนื่อง หรือ แบบล็อกออนล่วงหน้า/ทั่วไป (ขั้นตอนนี้ใช้ได้เฉพาะในกรณีที่คุณใช้เครื่องมือผู้ดูแลระบบเท่านั้น)
- คลิก ถัดไป เพื่อเปิด การตั้งค่าความปลอดภัย
- คลิก ความปลอดภัยองค์กร
- การตรวจสอบความถูกต้องเครือข่าย: เลือก ใช้ร่วมกัน การตรวจสอบความถูกต้องแบบใช้ร่วมกันจะใช้คีย์ WEP ที่กำหนดไว้ล่วงหน้า
- การเข้ารหัสข้อมูล: เลือก ไม่มี, WEP (64 บิต หรือ 128 บิต) หรือ CKIP (64 บิต หรือ 128 บิต)
- ใช้งาน 802.1X: ยกเลิกใช้งาน
- ระดับการเข้ารหัส: 64 บิต หรือ 128 บิต: เมื่อสลับการเข้ารหัสระหว่าง 64 บิต และ 128 บิต การตั้งค่าก่อนหน้านี้จะถูกลบทิ้ง และจะต้องป้อนคีย์ใหม่
- ดัชนีคีย์: เลือก 1, 2, 3 หรือ 4 เปลี่ยนดัชนีคีย์เพื่อระบุรหัสผ่านไม่เกิน 4 ตัว
- รหัสผ่านความปลอดภัยไร้สาย (คีย์เข้ารหัส): ป้อนรหัสผ่านเครือข่ายไร้สาย (คีย์เข้ารหัส) รหัสผ่านเป็นค่าเดียวกันกับที่ใช้โดยจุดเชื่อมต่อไร้สายหรือเราเตอร์ สอบถามรหัสผ่านนี้ได้จากผู้ดูแลระบบของคุณ
- Pass phrase (64 บิต): ป้อนอักขระตัวอักษรและตัวเลข, 0-9, a-z หรือ A-Z จำนวน 5 ตัว
- Hex key (64 บิต): ป้อนอักขระเลขฐานสิบหก, 0-9, A-F จำนวน 10 ตัว
- Pass phrase (128 บิต): ป้อนอักขระตัวอักษรและตัวเลข, 0-9, a-z หรือ A-Z จำนวน 13 ตัว
- Hex key (128 บิต): ป้อนอักขระเลขฐานสิบหก, 0-9, A-F จำนวน 26 ตัว
สร้างส่วนกำหนดค่า โดยใช้การตรวจสอบความถูกต้องเครือข่าย WPA-Personal หรือ WPA2-Personal
Wi-Fi Protected Access (WPA) เป็นส่วนปรับปรุงความปลอดภัยที่ช่วยเพิ่มระดับการคุ้มครองข้อมูลและการควบคุมการเข้าถึงเครือข่ายไร้สาย WPA-Personal ใช้การแลกเปลี่ยนคีย์และจะทำงานเฉพาะกับคีย์เข้ารหัสแบบไดนามิกเท่านั้น หากจุดเชื่อมต่อไร้สายหรือเราเตอร์ของคุณสนับสนุน WPA-Personal หรือ WPA2 Personal คุณควรเปิดใช้งานบนจุดเชื่อมต่อ และกำหนดรหัสผ่านแบบยาวที่ซับซ้อน สำหรับเครือข่ายส่วนตัวหรือภายในบ้านที่ไม่มีเซิร์ฟเวอร์ RADIUS หรือ AAA ให้ใช้ Wi-Fi Protected Access Personal
- WPA-Personal: วิธีการรักษาความปลอดภัยสำหรับการเชื่อมต่อไร้สายที่มีการป้องกันข้อมูลระดับสูง และป้องกันการเข้าเครือข่ายโดยไม่ได้รับอนุญาตสำหรับเครือข่ายขนาดเล็ก โดยจะใช้การเข้ารหัสแบบ Temporal Key Integrity Protocol (TKIP) หรือ AES-CCMP และป้องกันผู้เข้าเครือข่ายโดยไม่ได้รับอนุญาตผ่านการใช้ pre-shared key (PSK)
- WPA2-Personal: วิธีการรักษาความปลอดภัยสำหรับการเชื่อมต่อไร้สายต่อมาจาก WPA ที่มีการป้องกันข้อมูลระดับสูงยิ่งขึ้น และป้องกันการเข้าเครือข่ายโดยไม่ได้รับอนุญาตสำหรับเครือข่ายขนาดเล็ก
หมายเหตุ: WPA-Personal และ WPA2-Personal สามารถใช้งานร่วมกันได้
ระบบปฏิบัติการในคอมพิวเตอร์ของคุณอาจไม่สนับสนุนโซลูชั่นความปลอดภัยบางประเภท และอาจจำเป็นต้องใช้ซอฟต์แวร์หรือฮาร์ดแวร์บางชนิดเพิ่มเติม รวมถึงการสนับสนุนโครงสร้าง LAN ไร้สาย โปรดตรวจสอบรายละเอียดจากผู้ผลิตคอมพิวเตอร์ของคุณ
การเพิ่มส่วนกำหนดค่าที่มีการตรวจสอบความถูกต้องเครือข่าย WPA-Personal หรือ WPA2-Personal:
-
คลิก ส่วนกำหนดค่า... บนหน้าต่างหลักของยูทิลิตีการเชื่อมต่อ WiFi
หรือถ้าคุณทำหน้าที่เป็นผู้ดูแลระบบ ให้เปิด เครื่องมือผู้ดูแลระบบ
- บนรายการ หรือ แท็บส่วนกำหนดค่า คลิก เพิ่ม เพื่อเปิด การตั้งค่าทั่วไปของการสร้างส่วนกำหนดค่า WiFi
- ชื่อส่วนกำหนดค่า: ป้อนชื่อส่วนกำหนดค่าที่บ่งบอกความหมายได้
- ชื่อเครือข่าย WiFi (SSID): ป้อนตัวระบุเครือข่าย
- โหมดการทำงาน: คลิก เครือข่าย (โครงสร้างพื้นฐาน) (พารามิเตอร์นี้ถูกตั้งไว้ที่โครงสร้างพื้นฐานถ้าคุณใช้เครื่องมือผู้ดูแลระบบ)
- ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ: เลือก แบบต่อเนื่อง หรือ แบบล็อกออนล่วงหน้า/ทั่วไป (ขั้นตอนนี้ใช้ได้เฉพาะในกรณีที่คุณใช้เครื่องมือผู้ดูแลระบบเท่านั้น)
- คลิก ถัดไป เพื่อเปิด การตั้งค่าความปลอดภัย
- คลิก ความปลอดภัยองค์กร
- การตรวจสอบความถูกต้องเครือข่าย: เลือก WPA-Personal หรือ WPA2-Personal ดู ภาพรวมเกี่ยวกับความปลอดภัย
- การเข้ารหัสข้อมูล: เลือก TKIP หรือ AES-CCMP
- รหัสผ่าน: ป้อนข้อความโดยมีจำนวนอักขระตั้งแต่ 8 ถึง 63 ตัว รหัสผ่านที่ยาวช่วยรักษาความปลอดภัยเครือข่ายได้มากกว่ารหัสผ่านที่สั้น รหัสผ่านชุดที่ป้อนลงในจุดเชื่อมต่อจะต้องนำมาใช้กับคอมพิวเตอร์เครื่องนี้และอุปกรณ์ไร้สายอื่นๆ ทั้งหมดที่เชื่อมต่อกับเครือข่ายไร้สาย
สร้างส่วนกำหนดค่า โดยใช้การตรวจสอบความถูกต้องเครือข่าย WPA-Enterprise หรือ WPA2-Enterprise
WPA-2 Enterprise จำเป็นต้องใช้เซิร์ฟเวอร์การตรวจสอบความถูกต้อง
- WPA-Enterprise: วิธีการรักษาความปลอดภัยสำหรับเครือข่ายไร้สายที่มีการป้องกันข้อมูลระดับสูงสำหรับผู้ใช้หลายคนและระบบเครือข่ายขนาดใหญ่ โดยจะใช้กรอบงานการตรวจสอบความถูกต้อง 802.1X โดยใช้การเข้ารหัส TKIP หรือ AES-CCMP และป้องกันการเข้าเครือข่ายที่ไม่ได้รับอนุญาตโดยการตรวจสอบผู้ใช้เครือข่ายผ่านเซิร์ฟเวอร์การตรวจสอบความถูกต้อง
- WPA2-Enterprise: วิธีการรักษาความปลอดภัยสำหรับเครือข่ายไร้สายที่มีการป้องกันข้อมูลระดับสูงสำหรับผู้ใช้หลายคนและระบบเครือข่ายขนาดใหญ่ โดยจะป้องกันผู้เข้าเครือข่ายที่ไม่ได้รับอนุญาตโดยการตรวจสอบผู้ใช้เครือข่ายผ่านทางเซิร์ฟเวอร์การตรวจสอบความถูกต้อง
หมายเหตุ: WPA-Enterprise และ WPA2-Enterprise สามารถใช้งานร่วมกันได้
การเพิ่มส่วนกำหนดค่าที่ใช้การตรวจสอบความถูกต้อง WPA-Enterprise หรือ WPA2-Enterprise:
- ติดต่อขอรับชื่อและรหัสผ่านบนเซิร์ฟเวอร์ RADIUS จากผู้ดูแลระบบของคุณ
- การตรวจสอบความถูกต้องบางประเภทจำเป็นต้องมีและติดตั้งใบรับรองระดับลูกข่าย ดูที่ สร้างส่วนกำหนดค่าด้วยการตรวจสอบความถูกต้อง TLS หรือสอบถามผู้ดูแลระบบ
-
คลิก ส่วนกำหนดค่า... บนหน้าต่างหลักของยูทิลิตีการเชื่อมต่อ WiFi
หรือถ้าคุณทำหน้าที่เป็นผู้ดูแลระบบ ให้เปิด เครื่องมือผู้ดูแลระบบ
- บนหน้าจอส่วนกำหนดค่า คลิก เพิ่ม เพื่อเปิด การตั้งค่าทั่วไปของการสร้างส่วนกำหนดค่า WiFi
- ชื่อส่วนกำหนดค่า: ป้อนชื่อส่วนกำหนดค่าที่บ่งบอกความหมายได้
- ชื่อเครือข่าย WiFi (SSID): ป้อนตัวระบุเครือข่าย
- โหมดการทำงาน: คลิก เครือข่าย (โครงสร้างพื้นฐาน) (พารามิเตอร์นี้ถูกตั้งไว้ที่โครงสร้างพื้นฐานถ้าคุณใช้เครื่องมือผู้ดูแลระบบ)
- ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ: เลือก แบบต่อเนื่อง หรือ แบบล็อกออนล่วงหน้า/ทั่วไป (ขั้นตอนนี้ใช้ได้เฉพาะในกรณีที่คุณใช้เครื่องมือผู้ดูแลระบบเท่านั้น)
- คลิก ถัดไป เพื่อเปิด การตั้งค่าความปลอดภัย
- คลิก ความปลอดภัยองค์กร
- การตรวจสอบความถูกต้องเครือข่าย: เลือก WPA-Enterprise หรือ WPA2-Enterprise
- การเข้ารหัสข้อมูล: เลือก TKIP หรือ AES-CCMP
- ใช้งาน 802.1X: เลือกตามค่าเริ่มต้น
- ประเภทการตรวจสอบความถูกต้อง: เลือกตัวเลือกข้อใดข้อหนึ่งต่อไปนี้: EAP-SIM, LEAP, TLS, TTLS, PEAP หรือ EAP-FAST
กำหนดส่วนกำหนดค่าเครือข่ายด้วยชนิดการตรวจสอบความถูกต้อง 802.1X
สร้างส่วนกำหนดค่า โดยใช้การเข้ารหัสข้อมูล WEP และการตรวจสอบความถูกต้องเครือข่าย EAP-SIM
EAP-SIM ใช้คีย์ WEP ที่ขึ้นกับเซสชันแบบไดนามิก ซึ่งจะได้รับจากอแด็ปเตอร์ลูกข่ายและเซิร์ฟเวอร์ RADIUS เพื่อเข้ารหัสข้อมูล EAP-SIM จำเป็นต้องให้คุณป้อนรหัสการตรวจสอบผู้ใช้ หรือ PIN สำหรับการสื่อสารกับการ์ด Subscriber Identity Module (SIM) ซิมการ์ดเป็นสมาร์ทการ์ดชนิดพิเศษที่ใช้บนเครือข่ายโทรศัพท์เคลื่อนที่ดิจิตอลในระบบ Global System for Mobile Communications (GSM)
การแม็ปส่วนกำหนดค่า
ส่วนกำหนดค่านี้จะถูกส่งออกไปยังไคลเอ็นต์ที่ติดตั้ง Windows* XP ในลักษณะที่แตกต่างไปเมื่อเทียบกับไคลเอ็นต์ที่ติดตั้ง Windows Vista* และ Windows* 7 โปรดดู การแม็ปส่วนกำหนดค่า EAP-SIM สำหรับข้อมูลเพิ่มเติม
การเพิ่มส่วนกำหนดค่าที่ใช้การตรวจสอบความถูกต้อง EAP-SIM:
-
คลิก ส่วนกำหนดค่า... บนหน้าต่างหลักของยูทิลิตีการเชื่อมต่อ WiFi
หรือถ้าคุณทำหน้าที่เป็นผู้ดูแลระบบ ให้เปิด เครื่องมือผู้ดูแลระบบ
- บนหน้าจอส่วนกำหนดค่า คลิก เพิ่ม เพื่อเปิด การตั้งค่าทั่วไปของการสร้างส่วนกำหนดค่า WiFi
- ชื่อส่วนกำหนดค่า: ป้อนชื่อส่วนกำหนดค่า
- ชื่อเครือข่าย WiFi (SSID): ป้อนตัวระบุเครือข่าย
- โหมดการทำงาน: คลิก เครือข่าย (โครงสร้างพื้นฐาน) (พารามิเตอร์นี้ถูกตั้งไว้ที่โครงสร้างพื้นฐานถ้าคุณใช้เครื่องมือผู้ดูแลระบบ)
- ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ: เลือก แบบต่อเนื่อง หรือ แบบล็อกออนล่วงหน้า/ทั่วไป (ขั้นตอนนี้ใช้ได้เฉพาะในกรณีที่คุณใช้เครื่องมือผู้ดูแลระบบเท่านั้น)
- คลิก ถัดไป เพื่อเปิด การตั้งค่าความปลอดภัย
- คลิก ความปลอดภัยองค์กร
- การตรวจสอบความถูกต้องเครือข่าย: เลือก เปิด (แนะนำ)
- การเข้ารหัสข้อมูล: เลือก WEP
- คลิก ใช้งาน 802.1X
- ประเภทการตรวจสอบความถูกต้อง: เลือก EAP-SIM
การตรวจสอบความถูกต้อง EAP-SIM สามารถใช้งานร่วมกับ:
- ประเภทการตรวจสอบความถูกต้องเครือข่าย: เปิด, ใช้ร่วมกัน, WPA - Enterprise และ WPA2 - Enterprise
- ชนิดของการเข้ารหัสข้อมูล: ไม่มี, WEP, TKIP, AES-CCMP และ CKIP
ผู้ใช้ EAP-SIM (จะใส่ข้อมูลนี้หรือไม่ก็ได้)
- คลิก ระบุชื่อผู้ใช้ (รหัสประจำตัว):
- ที่ ชื่อผู้ใช้: ป้อนชื่อผู้ใช้ที่กำหนดให้สำหรับซิมการ์ด
- คลิก ตกลง
สร้างส่วนกำหนดค่า Windows XP* โดยใช้การตรวจสอบความถูกต้องเครือข่าย EAP-AKA
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) เป็นกลไก EAP สำหรับการตรวจสอบความถูกต้องและการเผยแพร่คีย์เซสชัน โดยใช้การ์ด Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM) การ์ด USIM เป็นสมาร์ทการ์ดชนิดพิเศษที่ใช้กับเครือข่ายเซลลูลาร์ เพื่อตรวจสอบผู้ใช้รายนั้นๆ กับเครือข่าย
การตรวจสอบความถูกต้อง EAP-AKA สามารถใช้งานร่วมกับ:
- การตรวจสอบความถูกต้องเครือข่าย: เปิด, WPA-Enterprise และ WPA2- Enterprise
- การเข้ารหัสข้อมูล: WEP หรือ CKIP สำหรับการตรวจสอบความถูกต้องแบบเปิด, TKIP หรือ AES-CCMP for Enterprise
การแม็ปส่วนกำหนดค่า
ส่วนกำหนดค่านี้จะถูกส่งออกในลักษณะที่แตกต่างกันไปยังไคลเอ็นต์ที่ติดตั้ง Windows* XP เมื่อเทียบกับไคลเอ็นต์ที่ติดตั้ง Windows Vista* และ Windows* 7 โปรดดู การแม็ปส่วนกำหนดค่า EAP-AKA สำหรับข้อมูลเพิ่มเติม
การเพิ่มส่วนกำหนดค่าที่ใช้การตรวจสอบความถูกต้อง EAP-AKA:
-
คลิก ส่วนกำหนดค่า... บนหน้าต่างหลักของยูทิลิตีการเชื่อมต่อ WiFi
หรือถ้าคุณทำหน้าที่เป็นผู้ดูแลระบบ ให้เปิด เครื่องมือผู้ดูแลระบบ
- บนหน้าจอส่วนกำหนดค่า คลิก เพิ่ม เพื่อเปิด การตั้งค่าทั่วไปของการสร้างส่วนกำหนดค่า WiFi
- ชื่อส่วนกำหนดค่า: ป้อนชื่อส่วนกำหนดค่า
- ชื่อเครือข่าย WiFi (SSID): ป้อนตัวระบุเครือข่าย
- โหมดการทำงาน: คลิก เครือข่าย (โครงสร้างพื้นฐาน) (พารามิเตอร์นี้ถูกตั้งไว้ที่โครงสร้างพื้นฐานถ้าคุณใช้เครื่องมือผู้ดูแลระบบ)
- ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ: เลือก แบบต่อเนื่อง หรือ แบบล็อกออนล่วงหน้า/ทั่วไป (ขั้นตอนนี้ใช้ได้เฉพาะในกรณีที่คุณใช้เครื่องมือผู้ดูแลระบบเท่านั้น)
- คลิก ถัดไป เพื่อเปิด การตั้งค่าความปลอดภัย
- คลิก ความปลอดภัยองค์กร
- การตรวจสอบความถูกต้องเครือข่าย: เลือก เปิด, WPA-Enterprise หรือ WPA2-Enterprise
- การเข้ารหัสข้อมูล: เลือก WEP หรือ CKIP สำหรับการตรวจสอบความถูกต้องแบบ เปิด, TKIP หรือ AES-CCMP สำหรับการตรวจสอบความถูกต้องแบบ องค์กร
- คลิก ใช้งาน 802.1X ถ้ายังไม่ได้เลือกไว้
- ประเภทการตรวจสอบความถูกต้อง: เลือก EAP-AKA
ผู้ใช้ EAP-AKA (จะใส่ข้อมูลนี้หรือไม่ก็ได้)
- คลิก ระบุชื่อผู้ใช้ (รหัสประจำตัว):
- ที่ ชื่อผู้ใช้: ป้อนชื่อผู้ใช้ที่กำหนดให้สำหรับการ์ด USIM
- คลิก ตกลง
สร้างส่วนกำหนดค่า โดยใช้การตรวจสอบความถูกต้องเครือข่าย TLS
การตั้งค่าเหล่านี้จะกำหนดโปรโตคอลและข้อมูลรับรองที่ใช้ในการตรวจสอบความถูกต้องของผู้ใช้ การตรวจสอบความถูกต้องแบบ Transport Layer Security (TLS) เป็นวิธีการตรวจสอบความถูกต้องที่ใช้ใบรับรองดิจิตอลในการตรวจสอบรหัสประจำตัวของเครื่องลูกข่ายและเซิร์ฟเวอร์
การแม็ปส่วนกำหนดค่า
ส่วนกำหนดค่านี้จะถูกส่งออกในลักษณะที่แตกต่างกันไปยังไคลเอ็นต์ที่ติดตั้ง Windows* XP เมื่อเทียบกับไคลเอ็นต์ที่ติดตั้ง Windows Vista* และ Windows* 7 โปรดดู การแม็ปส่วนกำหนดค่า TLS สำหรับข้อมูลเพิ่มเติม
การสร้างส่วนกำหนดค่าที่มีการตรวจสอบความถูกต้อง TLS:
-
คลิก ส่วนกำหนดค่า... บนหน้าต่างหลักของยูทิลิตีการเชื่อมต่อ WiFi
หรือถ้าคุณทำหน้าที่เป็นผู้ดูแลระบบ ให้เปิด เครื่องมือผู้ดูแลระบบ
- บนหน้าจอส่วนกำหนดค่า คลิก เพิ่ม เพื่อเปิด การตั้งค่าทั่วไปของการสร้างส่วนกำหนดค่า WiFi
- ชื่อส่วนกำหนดค่า: ป้อนชื่อส่วนกำหนดค่าที่บ่งบอกความหมายได้
- ชื่อเครือข่าย WiFi (SSID): ป้อนตัวระบุเครือข่าย
- โหมดการทำงาน: คลิก เครือข่าย (โครงสร้างพื้นฐาน) (พารามิเตอร์นี้ถูกตั้งไว้ที่โครงสร้างพื้นฐานถ้าคุณใช้เครื่องมือผู้ดูแลระบบ)
- ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ: เลือก แบบต่อเนื่อง หรือ แบบล็อกออนล่วงหน้า/ทั่วไป (ขั้นตอนนี้ใช้ได้เฉพาะในกรณีที่คุณใช้เครื่องมือผู้ดูแลระบบเท่านั้น)
- คลิก ถัดไป เพื่อเปิด การตั้งค่าความปลอดภัย
- คลิก ความปลอดภัยองค์กร
- การตรวจสอบความถูกต้องเครือข่าย: เลือก WPA-Enterprise หรือ WPA2-Enterprise (แนะนำ)
- การเข้ารหัสข้อมูล: เลือก AES-CCMP (แนะนำ)
- ใช้งาน 802.1X: เลือกตามค่าเริ่มต้น
- ประเภทการตรวจสอบความถูกต้อง: เลือก TLS เพื่อใช้กับการเชื่อมต่อนี้
ขั้นที่ 1 จาก 2: ผู้ใช้ TLS
- ขอรับและติดตั้งใบรับรองระดับลูกข่าย ดูที่ สร้างส่วนกำหนดค่าด้วยการตรวจสอบความถูกต้อง TLS หรือสอบถามผู้ดูแลระบบ
- เลือกหนึ่งรายการจากรายการต่อไปนี้เพื่อขอรับใบรับรอง: ใช้สมาร์ทการ์ดของข้าพเจ้า, ใช้ใบรับรองที่ออกให้กับคอมพิวเตอร์นี้ หรือ ใช้ใบรับรองผู้ใช้บนคอมพิวเตอร์นี้
- คลิก ถัดไป เพื่อเปิดการตั้งค่า เซิร์ฟเวอร์ TLS
ขั้นตอนที่ 2 จาก 2: เซิร์ฟเวอร์ TLS
- เลือกวิธีการใช้ข้อมูลรับรองข้อใดข้อหนึ่งต่อไปนี้: ตรวจสอบใบรับรองเซิร์ฟเวอร์ หรือ ระบุเซิร์ฟเวอร์หรือชื่อใบรับรอง
- คลิก ตกลง ส่วนกำหนดค่าจะถูกเพิ่มเข้าในรายการส่วนกำหนดค่า
- คลิกส่วนกำหนดค่าใหม่ที่ด้านล่างสุดของรายการส่วนกำหนดค่า ใช้ลูกศรขึ้นและลงเพื่อเปลี่ยนลำดับของส่วนกำหนดค่าใหม่
- คลิก เชื่อมต่อ เพื่อเชื่อมต่อกับเครือข่ายไร้สายที่เลือก
- คลิก ตกลง เพื่อปิดโปรแกรม
สร้างส่วนกำหนดค่า โดยใช้การตรวจสอบความถูกต้องเครือข่าย TTLS
การตรวจสอบความถูกต้อง TTLS: การตั้งค่าเหล่านี้จะกำหนดโปรโตคอลและข้อมูลรับรองที่ใช้ในการตรวจสอบความถูกต้องของผู้ใช้ เครื่องลูกข่ายจะใช้ EAP-TLS เพื่อตรวจสอบเซิร์ฟเวอร์ และสร้างแชนเนลที่เข้ารหัสด้วย TLS ระหว่างเครื่องลูกข่ายและเซิร์ฟเวอร์ เครื่องลูกข่ายสามารถใช้โปรโตคอลอื่นสำหรับการตรวจสอบความถูกต้อง โดยปกติแล้ว โปรโตคอลที่ใช้รหัสผ่านจะใช้คำถาม-คำตอบบนแชนเนลที่เข้ารหัส TLS ซึ่งไม่ถูกเปิดเผย
การแม็ปส่วนกำหนดค่า
ส่วนกำหนดค่านี้จะถูกส่งออกในลักษณะที่แตกต่างกันไปยังไคลเอ็นต์ที่ติดตั้ง Windows* XP เมื่อเทียบกับไคลเอ็นต์ที่ติดตั้ง Windows Vista* และ Windows* 7 โปรดดู การแม็ปส่วนกำหนดค่า TTLS สำหรับข้อมูลเพิ่มเติม
การสร้างส่วนกำหนดค่าที่มีการตรวจสอบความถูกต้อง TTLS:
-
คลิก ส่วนกำหนดค่า... บนหน้าต่างหลักของยูทิลิตีการเชื่อมต่อ WiFi
หรือถ้าคุณทำหน้าที่เป็นผู้ดูแลระบบ ให้เปิด เครื่องมือผู้ดูแลระบบ
- บนหน้าจอส่วนกำหนดค่า คลิก เพิ่ม เพื่อเปิด การตั้งค่าทั่วไปของการสร้างส่วนกำหนดค่า WiFi
- ชื่อส่วนกำหนดค่า: ป้อนชื่อส่วนกำหนดค่าที่บ่งบอกความหมายได้
- ชื่อเครือข่าย WiFi (SSID): ป้อนตัวระบุเครือข่าย
- โหมดการทำงาน: คลิก เครือข่าย (โครงสร้างพื้นฐาน) (พารามิเตอร์นี้ถูกตั้งไว้ที่โครงสร้างพื้นฐานถ้าคุณใช้เครื่องมือผู้ดูแลระบบ)
- ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ: เลือก แบบต่อเนื่อง หรือ แบบล็อกออนล่วงหน้า/ทั่วไป (ขั้นตอนนี้ใช้ได้เฉพาะในกรณีที่คุณใช้เครื่องมือผู้ดูแลระบบเท่านั้น
- คลิก ถัดไป เพื่อเปิด การตั้งค่าความปลอดภัย
- คลิก ความปลอดภัยองค์กร
- การตรวจสอบความถูกต้องเครือข่าย: เลือก WPA-Enterprise หรือ WPA2-Enterprise (แนะนำ)
- การเข้ารหัสข้อมูล: เลือก TKIP หรือ AES-CCMP (แนะนำ)
- ใช้งาน 802.1X: เลือกตามค่าเริ่มต้น
- ประเภทการตรวจสอบความถูกต้อง: เลือก TLS เพื่อใช้กับการเชื่อมต่อนี้
ขั้นที่ 1 จาก 2: ผู้ใช้ TTLS
- โปรโตคอลการตรวจสอบความถูกต้อง: ค่าพารามิเตอร์นี้ระบุโปรโตคอลการตรวจสอบความถูกต้องที่ทำงานบนอุโมงค์ TTLS โปรโตคอลที่ใช้ได้แก่ PAP (ค่าเริ่มต้น), CHAP, MS-CHAP และ MS-CHAP-V2 ดูรายละเอียดเพิ่มเติมใน ภาพรวมเกี่ยวกับความปลอดภัย
- ข้อมูลรับรองผู้ใช้: สำหรับโปรโตคอล PAP, CHAP, MS-CHAP และ MS-CHAP-V2 ให้เลือกวิธีใดวิธีหนึ่งในการตรวจสอบความถูกต้องเหล่านี้: ใช้ล็อกออนของ Windows, แสดงกล่องโต้ตอบแต่ละครั้งที่ข้าพเจ้าเชื่อมต่อ หรือ ใช้ข้อมูลต่อไปนี้
- รหัสประจำตัวการข้ามเครือข่าย: รหัสประจำตัวการข้ามเครือข่ายอาจถูกใส่ไว้ในฟิลด์นี้ หรือคุณอาจใช้ %domain%\%username% เป็นรูปแบบเริ่มต้นสำหรับการป้อนรหัสประจำตัวการข้ามเครือข่าย
เมื่อใช้ 802.1X Microsoft IAS RADIUS เป็นเซิร์ฟเวอร์การตรวจสอบความถูกต้อง เซิร์ฟเวอร์ดังกล่าวจะตรวจสอบอุปกรณ์โดยใช้ รหัสประจำตัวการข้ามเครือข่าย จากซอฟต์แวร์ Intel® PROSet/Wireless WiFi และไม่ใช้ชื่อผู้ใช้ โปรโตคอลการตรวจสอบความถูกต้อง MS-CHAP-V2 Microsoft IAS RADIUS ยอมรับเฉพาะชื่อผู้ใช้ที่ถูกต้อง (ผู้ใช้ dotNet) สำหรับรหัสประจำตัวการข้ามเครือข่าย สำหรับเซิร์ฟเวอร์การตรวจสอบความถูกต้องอื่นๆ ทั้งหมด จะใส่รหัสประจำตัวการข้ามเครือข่ายหรือไม่ใส่ก็ได้ ดังนั้น ขอแนะนำให้ใช้โดเมนที่ต้องการ (ตัวอย่างเช่น anonymous@myrealm) สำหรับรหัสประจำตัวการข้ามเครือข่าย แทนการใช้รหัสประจำตัวที่แท้จริง
- คลิก ถัดไป เพื่อเข้าใช้การตั้งค่าเซิร์ฟเวอร์ TTLS
ขั้นตอนที่ 2 จาก 2: เซิร์ฟเวอร์ TTLS
- เลือกวิธีการใช้ข้อมูลรับรองข้อใดข้อหนึ่งต่อไปนี้: ตรวจสอบใบรับรองเซิร์ฟเวอร์ หรือ ระบุเซิร์ฟเวอร์หรือชื่อใบรับรอง
- คลิก ตกลง เพื่อบันทึกค่าใหม่และปิดหน้าจอ
สร้างส่วนกำหนดค่า โดยใช้การตรวจสอบความถูกต้องเครือข่าย PEAP
การตรวจสอบความถูกต้อง PEAP: การตั้งค่า PEAP จำเป็นต้องใช้สำหรับการตรวจสอบความถูกต้องของเครื่องลูกข่ายต่อเซิร์ฟเวอร์การตรวจสอบความถูกต้อง เครื่องลูกข่ายจะใช้ EAP-TLS เพื่อตรวจสอบเซิร์ฟเวอร์ และสร้างแชนเนลที่เข้ารหัสด้วย TLS ระหว่างเครื่องลูกข่ายและเซิร์ฟเวอร์ เครื่องลูกข่ายจะสามารถใช้กลไก EAP อื่น เช่น Microsoft Challenge Authentication Protocol (MS-CHAP) รุ่น 2 บนแชนเนลที่เข้ารหัสนี้ เพื่อรองรับการตรวจสอบเซิร์ฟเวอร์ กลุ่มข้อมูลคำถามและคำตอบจะถูกส่งบนแชนเนลที่เข้ารหัส TLS ซึ่งไม่ถูกเปิดเผย ตัวอย่างต่อไปนี้จะอธิบายถึงวิธีการใช้ WPA ที่ใช้การเข้ารหัส AES-CCMP หรือ TKIP และใช้การตรวจสอบความถูกต้อง PEAP
การแม็ปส่วนกำหนดค่า
ส่วนกำหนดค่านี้จะถูกส่งออกไปยังไคลเอ็นต์ที่ติดตั้ง Windows* XP ในลักษณะที่แตกต่างไป เมื่อเทียบกับไคลเอ็นต์ที่ติดตั้ง Windows Vista* และ Windows* 7 โปรดดู การแม็ปส่วนกำหนดค่า PEAP สำหรับข้อมูลเพิ่มเติม
การสร้างส่วนกำหนดค่าที่มีการตรวจสอบความถูกต้อง PEAP:
ขอรับและติดตั้งใบรับรองระดับลูกข่าย ดูที่ สร้างส่วนกำหนดค่า Windows* XP สำหรับการตรวจสอบความถูกต้อง TLS หรือสอบถามผู้ดูแลระบบ
-
คลิก ส่วนกำหนดค่า... บนหน้าต่างหลักของยูทิลิตีการเชื่อมต่อ WiFi
หรือถ้าคุณทำหน้าที่เป็นผู้ดูแลระบบ ให้เปิด เครื่องมือผู้ดูแลระบบ
- บนหน้าจอส่วนกำหนดค่า คลิก เพิ่ม เพื่อเปิด การตั้งค่าทั่วไปของการสร้างส่วนกำหนดค่า WiFi
- ชื่อส่วนกำหนดค่า: ป้อนชื่อส่วนกำหนดค่าที่บ่งบอกความหมายได้
- ชื่อเครือข่าย WiFi (SSID): ป้อนตัวระบุเครือข่าย
- โหมดการทำงาน: คลิก เครือข่าย (โครงสร้างพื้นฐาน) (พารามิเตอร์นี้ถูกตั้งไว้ที่โครงสร้างพื้นฐานถ้าคุณใช้เครื่องมือผู้ดูแลระบบ)
- ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ: เลือก แบบต่อเนื่อง หรือ แบบล็อกออนล่วงหน้า/ทั่วไป (ขั้นตอนนี้ใช้ได้เฉพาะในกรณีที่คุณใช้เครื่องมือผู้ดูแลระบบเท่านั้น
- คลิก ถัดไป เพื่อเปิด การตั้งค่าความปลอดภัย
- คลิก ความปลอดภัยองค์กร
- การตรวจสอบความถูกต้องเครือข่าย: เลือก WPA-Enterprise หรือ WPA2-Enterprise (แนะนำ)
- การเข้ารหัสข้อมูล: เลือกตัวเลือกข้อใดข้อหนึ่งต่อไปนี้: แนะนำให้ใช้ AES-CCMP
- ใช้งาน 802.1X: เลือกตามค่าเริ่มต้น
- ประเภทการตรวจสอบความถูกต้อง: เลือก PEAP เพื่อใช้กับการเชื่อมต่อนี้
ขั้นที่ 1 จาก 2: ผู้ใช้ PEAP
PEAP จะให้ความเชื่อถือกับ Transport Layer Security (TLS) ในการอนุญาตสำหรับประเภทการตรวจสอบความถูกต้องโดยไม่ได้เข้ารหัส เช่น การสนับสนุน EAP-Generic Token Card (GTC) และ One-Time Password (OTP)
- โปรโตคอลการตรวจสอบความถูกต้อง: เลือกทั้ง GTC, MS-CHAP-V2 (ค่าเริ่มต้น) หรือ TLS ดู โปรโตคอลการตรวจสอบความถูกต้อง
- ข้อมูลรับรองผู้ใช้: ต่อไปนี้เป็นตัวเลือกที่ใช้ได้สำหรับข้อมูลรับรองผู้ใช้ ข้อมูลรับรองที่ใช้ได้อาจไม่ตรงกับที่ระบุไว้ในรายการในที่นี้ ทั้งนี้ขึ้นอยู่กับว่าคุณกำลังสร้างส่วนกำหนดค่าบน Windows* XP หรือกำลังสร้างส่วนกำหนดค่าผู้ดูแลระบบไอทีสำหรับ Windows XP, Windows Vista หรือ Windows* 7 ข้อมูลเพิ่มเติมมีอยู่ที่ด้านล่างนี้ในเนื้อหาส่วนนี้
- รหัสประจำตัวการข้ามเครือข่าย: รหัสประจำตัวการข้ามเครือข่ายอาจถูกใส่ไว้ในฟิลด์นี้ หรือคุณอาจใช้ %domain%\%username% เป็นรูปแบบเริ่มต้นสำหรับการป้อนรหัสประจำตัวการข้ามเครือข่าย
เมื่อใช้ 802.1X Microsoft IAS RADIUS เป็นเซิร์ฟเวอร์การตรวจสอบความถูกต้อง เซิร์ฟเวอร์ดังกล่าวจะตรวจสอบอุปกรณ์โดยใช้ รหัสประจำตัวการข้ามเครือข่าย จากซอฟต์แวร์ Intel® PROSet/Wireless WiFi และไม่ใช้ชื่อผู้ใช้ โปรโตคอลการตรวจสอบความถูกต้อง MS-CHAP-V2 Microsoft IAS RADIUS ยอมรับเฉพาะชื่อผู้ใช้ที่ถูกต้อง (ผู้ใช้ dotNet) สำหรับรหัสประจำตัวการข้ามเครือข่าย สำหรับเซิร์ฟเวอร์การตรวจสอบความถูกต้องอื่นๆ ทั้งหมด จะใส่รหัสประจำตัวการข้ามเครือข่ายหรือไม่ใส่ก็ได้ ดังนั้น ขอแนะนำให้ใช้โดเมนที่ต้องการ (ตัวอย่างเช่น anonymous@myrealm) สำหรับรหัสประจำตัวการข้ามเครือข่าย แทนการใช้รหัสประจำตัวที่แท้จริง
กำหนดค่ารหัสประจำตัวการข้ามเครือข่ายเพื่อสนับสนุนผู้ใช้หลายคน:
ถ้าคุณใช้ ส่วนกำหนดค่าแบบล็อกออนล่วงหน้า/ทั่วไป ที่ต้องใช้รหัสประจำตัวการข้ามเครือข่ายโดยอ้างอิงข้อมูลรับรองผู้ใช้สำหรับการล็อกออนของ Windows ผู้สร้างส่วนกำหนดค่าจะสามารถเพิ่มรหัสประจำตัวการข้ามเครือข่ายที่ใช้ %username% และ %domain% รหัสประจำตัวการข้ามเครือข่ายถูกส่งผ่านและข้อมูลล็อกออนที่เหมาะสมจะถูกทดแทนสำหรับคีย์เวิร์ด วิธีนี้ช่วยให้มีความยืดหยุ่นสูงสุดในการกำหนดค่ารหัสประจำตัวการข้ามเครือข่าย และช่วยให้ผู้ใช้หลายคนสามารถใช้ส่วนกำหนดค่าร่วมกัน
กรุณาดูคู่มือผู้ใช้เซิร์ฟเวอร์การตรวจสอบความถูกต้องสำหรับวิธีการใช้รูปแบบรหัสประจำตัวการข้ามเครือข่ายที่เหมาะสม รูปแบบที่เป็นไปได้ ได้แก่:
%domain%\%user_name%
%user_name%@%domain%
%user_name%@%domain%.com
%user_name%@mynetwork.com
ถ้ารหัสประจำตัวการข้ามเครือข่ายเว้นว่างไว้ จะใช้ %domain%\%username% เป็นค่าเริ่มต้น
หมายเหตุเกี่ยวกับข้อมูลรับรอง: ชื่อผู้ใช้และโดเมนนี้จะต้องตรงกับชื่อผู้ใช้ที่ผู้ดูแลระบบได้กำหนดไว้ในเซิร์ฟเวอร์การตรวจสอบความถูกต้อง ก่อนที่จะทำการตรวจสอบความถูกต้องของเครื่องลูกข่าย ชื่อผู้ใช้จะต้องตรงตามตัวพิมพ์ใหญ่-เล็ก ชื่อนี้ระบุรหัสประจำตัวที่จัดหาให้กับตัวตรวจสอบความถูกต้อง โดยโปรโตคอลการตรวจสอบความถูกต้องที่ทำงานบนอุโมงค์ TLS รหัสประจำตัวของผู้ใช้จะถูกส่งอย่างปลอดภัยไปยังเซิร์ฟเวอร์หลังจากที่ได้มีการตรวจสอบและกำหนดแชนเนลที่เข้ารหัสแล้วเท่านั้น
โปรโตคอลการตรวจสอบความถูกต้อง
ค่าพารามิเตอร์นี้ระบุโปรโตคอลการตรวจสอบความถูกต้องที่ทำงานบนอุโมงค์ TTLS ต่อไปนี้คือคำแนะนำเกี่ยวกับวิธีการปรับตั้งส่วนกำหนดค่าที่ใช้การตรวจสอบความถูกต้อง PEAP โดยใช้โปรโตคอลการตรวจสอบความถูกต้อง GTC, MS-CHAP-V2 (ค่าเริ่มต้น) หรือ TLS ข้อมูลรับรองผู้ใช้ที่เลือกเป็นเพียงตัวอย่างเท่านั้น
Generic Token Card (GTC)
การกำหนดรหัสผ่านป้อนครั้งเดียว:
- โปรโตคอลการตรวจสอบความถูกต้อง: เลือก GTC (Generic Token Card)
- ข้อมูลรับรองผู้ใช้: เลือก แสดงกล่องโต้ตอบแต่ละครั้งที่ข้าพเจ้าเชื่อมต่อ (ตัวเลือกนี้จะพร้อมใช้งานเฉพาะในกรณีที่คุณสร้างส่วนกำหนดค่าส่วนบุคคลบนเครื่อง Windows* XP เท่านั้น ไม่สามารถใช้ได้กับส่วนกำหนดค่า IT)
- เมื่อเชื่อมต่อแสดงกล่องโต้ตอบสำหรับ: เลือกตัวเลือกข้อใดข้อหนึ่งต่อไปนี้:
ชื่อ |
คำอธิบาย |
รหัสผ่านคงที่ |
ในการเชื่อมต่อ ให้ป้อนข้อมูลรับรองผู้ใช้ |
รหัสผ่านป้อนครั้งเดียว (OTP) |
ขอรับรหัสผ่านจากอุปกรณ์ฮาร์ดแวร์โทเคน |
PIN (ซอฟต์โทเคน) |
ขอรับรหัสผ่านจากโปรแกรมซอฟต์โทเคน |
- คลิก ตกลง
- เลือกส่วนกำหนดค่าจากรายการเครือข่าย WiFi
- คลิก เชื่อมต่อ เมื่อมีกล่องโต้ตอบแสดงขึ้น ให้ป้อนชื่อผู้ใช้, โดเมน และ OTP
- คลิก ตกลง คุณจะได้รับแจ้งให้ตรวจสอบข้อมูลล็อกอินของคุณ
MS-CHAP-V2: ค่าพารามิเตอร์นี้ระบุโปรโตคอลการตรวจสอบความถูกต้องที่ทำงานบนอุโมงค์ PEAP
- ข้อมูลรับรองผู้ใช้: เลือกตัวเลือกข้อใดข้อหนึ่งต่อไปนี้: ใช้ล็อกออนของ Windows, แสดงกล่องโต้ตอบแต่ละครั้งที่ข้าพเจ้าเชื่อมต่อ หรือ ใช้ข้อมูลต่อไปนี้ สำหรับส่วนกำหนดค่าแบบต่อเนื่อง ตัวเลือกได้แก่ ใช้ข้อมูลต่อไปนี้ หรือ ใช้รหัสผ่านที่ปลอดภัย
- คลิก ถัดไป เพื่อเปิดการตั้งค่าเซิร์ฟเวอร์ PEAP
TLS: การตรวจสอบความถูกต้องแบบ Transport Layer Security เป็นวิธีการตรวจสอบความถูกต้องที่ใช้ใบรับรองดิจิตอลในการตรวจสอบรหัสประจำตัวของเครื่องลูกข่ายและเซิร์ฟเวอร์
- ขอรับและติดตั้งใบรับรองระดับลูกข่าย ดูที่ สร้างส่วนกำหนดค่า Windows* XP สำหรับการตรวจสอบความถูกต้อง TLS หรือสอบถามผู้ดูแลระบบ
- เลือกหนึ่งรายการจากรายการต่อไปนี้เพื่อขอรับใบรับรอง: ใช้สมาร์ทการ์ดของข้าพเจ้า, ใช้ใบรับรองที่ออกให้กับคอมพิวเตอร์นี้ หรือ ใช้ใบรับรองผู้ใช้บนคอมพิวเตอร์นี้ หากนี้เป็นส่วนกำหนดค่าผู้ดูแลระบบแบบต่อเนื่อง จะสามารถใช้ได้เฉพาะตัวเลือก ใช้ใบรับรองที่ออกให้กับคอมพิวเตอร์นี้ เท่านั้น
- คลิก ถัดไป เพื่อเปิดการตั้งค่าเซิร์ฟเวอร์ PEAP
ขั้นตอนที่ 2 จาก 2: เซิร์ฟเวอร์ PEAP
- เลือกวิธีการใช้ข้อมูลรับรองข้อใดข้อหนึ่งต่อไปนี้: ตรวจสอบใบรับรองเซิร์ฟเวอร์ หรือ ระบุเซิร์ฟเวอร์หรือชื่อใบรับรอง
- คลิก ตกลง ส่วนกำหนดค่าจะถูกเพิ่มเข้าในรายการส่วนกำหนดค่า
- คลิกส่วนกำหนดค่าใหม่ที่ด้านล่างสุดของรายการส่วนกำหนดค่า ใช้ลูกศรขึ้นและลงเพื่อเปลี่ยนลำดับของส่วนกำหนดค่าใหม่
- คลิก เชื่อมต่อ เพื่อเชื่อมต่อกับเครือข่ายไร้สายที่เลือก
ถ้าคุณไม่ได้เลือก ใช้การล็อกออนเข้าสู่ Windows ในหน้าการตั้งค่าความปลอดภัย และไม่ได้กำหนดข้อมูลรับรองผู้ใช้ด้วย จะไม่มีการบันทึกข้อมูลรับรองใดๆ สำหรับส่วนกำหนดค่านี้ โปรดป้อนข้อมูลรับรองของคุณเพื่อตรวจสอบความถูกต้องไปยังเครือข่าย
- คลิก ตกลง เพื่อปิดโปรแกรม
สร้างส่วนกำหนดค่า โดยใช้การตรวจสอบความถูกต้องเครือข่าย LEAP
Cisco LEAP (Light Extensible Authentication Protocol) เป็นประเภทการตรวจสอบความถูกต้อง 802.1X ที่สนับสนุนการตรวจสอบความถูกต้องร่วมกันในระดับสูงระหว่างเครื่องลูกข่ายกับเซิร์ฟเวอร์ RADIUS การตั้งค่าส่วนกำหนดค่า LEAP ประกอบด้วย LEAP, CKIP พร้อมด้วยตัวตรวจจับจุดเชื่อมต่อปลอม
การแม็ปส่วนกำหนดค่า
ส่วนกำหนดค่านี้จะถูกส่งออกในลักษณะที่แตกต่างกันไปยังไคลเอ็นต์ที่ติดตั้ง Windows* XP เมื่อเทียบกับไคลเอ็นต์ที่ติดตั้ง Windows Vista* และ Windows* 7 โปรดดู การแม็ปส่วนกำหนดค่า LEAP สำหรับข้อมูลเพิ่มเติม
การสร้างส่วนกำหนดค่าที่มีการตรวจสอบความถูกต้อง LEAP:
-
คลิก ส่วนกำหนดค่า... บนหน้าต่างหลักของยูทิลิตีการเชื่อมต่อ WiFi
หรือถ้าคุณทำหน้าที่เป็นผู้ดูแลระบบ ให้เปิด เครื่องมือผู้ดูแลระบบ
- บนรายการส่วนกำหนดค่า ให้คลิก เพิ่ม การตั้งค่าทั่วไปสำหรับการสร้างส่วนกำหนดค่า WiFi จะเปิดขึ้น
- ชื่อส่วนกำหนดค่า: ป้อนชื่อส่วนกำหนดค่าที่บ่งบอกความหมายได้
- ชื่อเครือข่าย WiFi (SSID): ป้อนตัวระบุเครือข่าย
- โหมดการทำงาน: คลิก เครือข่าย (โครงสร้างพื้นฐาน) (พารามิเตอร์นี้ถูกตั้งไว้ที่โครงสร้างพื้นฐานถ้าคุณใช้เครื่องมือผู้ดูแลระบบ)
- ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ: เลือก แบบต่อเนื่อง หรือ แบบล็อกออนล่วงหน้า/ทั่วไป (ขั้นตอนนี้ใช้ได้เฉพาะในกรณีที่คุณใช้เครื่องมือผู้ดูแลระบบเท่านั้น
- คลิก ถัดไป เพื่อเปิด การตั้งค่าความปลอดภัย
- คลิก ความปลอดภัยองค์กร
- การตรวจสอบความถูกต้องเครือข่าย: เลือก WPA-Enterprise หรือ WPA2-Enterprise (แนะนำ)
- การเข้ารหัสข้อมูล: แนะนำให้ใช้ AES-CCMP
- ใช้งาน 802.1X: เลือกตามค่าเริ่มต้น
- ประเภทการตรวจสอบความถูกต้อง: เลือก LEAP เพื่อใช้กับการเชื่อมต่อนี้
- คลิก ตัวเลือก CCX
-
คลิก ใช้งานส่วนขยายที่สามารถใช้งานร่วมกับ Cisco เพื่อใช้งานการรักษาความปลอดภัยของส่วนขยายที่สามารถใช้งานร่วมกับ Cisco (CCX) (ยอมรับการข้ามเครือข่ายแบบเร็ว (CCKM), ใช้งานการสนับสนุนการจัดการวิทยุ, ใช้งานโหมดเซลล์แบบผสม)
- คลิก ใช้การสนับสนุนการจัดการวิทยุ เพื่อตรวจหาจุดเชื่อมต่อปลอม
- คลิก ตกลง เพื่อกลับเข้าสู่การตั้งค่าความปลอดภัย
ผู้ใช้ LEAP:
- เลือกวิธีการใช้ข้อมูลรับรองข้อใดข้อหนึ่งต่อไปนี้ ถ้าภายใต้ ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ คุณเลือก ต่อเนื่อง (โดยเลือกหรือไม่ได้เลือก กำหนดล่วงหน้า/ทั่วไป) ก็จะใช้ได้เฉพาะ ใช้ชื่อผู้ใช้และรหัสผ่านต่อไปนี้ เท่านั้น ถ้าคุณเลือก ล็อกออนล่วงหน้า/ทั่วไป เท่านั้น ก็จะเลือกใช้ได้ทั้งสองวิธี
- คลิก ตกลง เพื่อบันทึกค่าใหม่และปิดหน้าจอ
สร้างส่วนกำหนดค่า โดยใช้การตรวจสอบความถูกต้องเครือข่าย EAP-FAST
ใน ส่วนขยายที่สามารถใช้งานร่วมกับ Cisco รุ่น 3 (CCXv3) Cisco ที่เพิ่มจะสนับสนุน EAP-FAST (Extensible Authentication Protocol-Flexible Authentication ผ่านอุโมงค์ความปลอดภัย) ซึ่งจะใช้ Protected Access Credentials (PAC) เพื่อสร้างอุโมงค์ที่ตรวจสอบความถูกต้องระหว่างเครื่องลูกข่ายกับเซิร์ฟเวอร์ ส่วนขยายที่สามารถใช้งานร่วมกับ Cisco รุ่น 4 (CCXv4) จะช่วยแก้ไขวิธีการกำหนดเพื่อความปลอดภัยที่เพิ่มขึ้น และมีนวัตกรรมใหม่ๆ เพื่อความปลอดภัย ความคล่องตัว คุณภาพของการบริการ และการจัดการเครือข่ายที่มีประสิทธิภาพมากขึ้น
การแม็ปส่วนกำหนดค่า
ส่วนกำหนดค่านี้จะถูกส่งออกในลักษณะที่แตกต่างกันไปยังไคลเอ็นต์ที่ติดตั้ง Windows* XP เมื่อเทียบกับไคลเอ็นต์ที่ติดตั้ง Windows Vista* และ Windows* 7 โปรดดู การแม็ปส่วนกำหนดค่า EAP-FAST สำหรับข้อมูลเพิ่มเติม
การสร้างการตรวจสอบความถูกต้อง EAP-FAST โดยใช้ Cisco Compatible Extensions เวอร์ชัน 3 (CCXv3)
-
คลิก ส่วนกำหนดค่า... บนหน้าต่างหลักของยูทิลิตีการเชื่อมต่อ WiFi
หรือถ้าคุณทำหน้าที่เป็นผู้ดูแลระบบ ให้เปิด เครื่องมือผู้ดูแลระบบ
- บนหน้าจอส่วนกำหนดค่า คลิก เพิ่ม เพื่อเปิด การตั้งค่าทั่วไปของการสร้างส่วนกำหนดค่า WiFi
- ชื่อเครือข่าย WiFi (SSID): ป้อนตัวระบุเครือข่าย
- ชื่อส่วนกำหนดค่า: ป้อนชื่อส่วนกำหนดค่าที่บ่งบอกความหมายได้
- โหมดการทำงาน: คลิก เครือข่าย (โครงสร้างพื้นฐาน) (พารามิเตอร์นี้ถูกตั้งไว้ที่โครงสร้างพื้นฐานถ้าคุณใช้เครื่องมือผู้ดูแลระบบ)
- ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ: เลือก แบบต่อเนื่อง หรือ แบบล็อกออนล่วงหน้า/ทั่วไป (ขั้นตอนนี้ใช้ได้เฉพาะในกรณีที่คุณใช้เครื่องมือผู้ดูแลระบบเท่านั้น
- คลิก ถัดไป เพื่อเปิด การตั้งค่าความปลอดภัย
- คลิก ความปลอดภัยองค์กร
- การตรวจสอบความถูกต้องเครือข่าย: เลือก WPA-Enterprise หรือ WPA2-Enterprise (แนะนำ)
- การเข้ารหัสข้อมูล: แนะนำให้ใช้ AES-CCMP
- ใช้งาน 802.1X: เลือกตามค่าเริ่มต้น
- ประเภทการตรวจสอบความถูกต้อง: เลือก EAP-FAST เพื่อใช้กับการเชื่อมต่อนี้
ขั้นที่ 1 จาก 2: การจัดสรร EAP-FAST
- คลิก ยกเลิกการใช้งานการปรับปรุง EAP-FAST (CCXv4) เพื่ออนุญาตให้ทำการกำหนดภายในอุโมงค์ TLS ของเซิร์ฟเวอร์ที่ไม่ได้ตรวจสอบความถูกต้อง (โหมดการกำหนดเซิร์ฟเวอร์ TLS ที่ไม่ได้ตรวจสอบความถูกต้อง)
- คลิก เลือกเซิร์ฟเวอร์ เพื่อดู PAC ต่างๆ ที่ไม่ได้ตรวจสอบความถูกต้องที่ได้กำหนดไว้แล้ว และเก็บอยู่ในคอมพิวเตอร์นี้ (ตัวเลือกนี้ไม่พร้อมใช้งานสำหรับส่วนกำหนดค่าผู้ดูแลระบบ โดยจะพร้อมใช้งานเฉพาะสำหรับส่วนกำหนดค่าผู้ใช้บนเครื่องที่ติดตั้ง Windows* XP เท่านั้น)
หมายเหตุ: ถ้า PAC ที่กำหนดไว้มีความถูกต้อง ยูทิลิตีการเชื่อมต่อ WiFi จะไม่แสดงกล่องโต้ตอบให้กับผู้ใช้สำหรับการยอมรับ PAC ถ้า PAC ไม่ถูกต้อง ยูทิลิตีการเชื่อมต่อ WiFi จะล้มเลิกการกำหนดโดยอัตโนมัติ ข้อความสถานะจะแสดงอยู่ใน Wireless Event Viewer ซึ่งผู้ดูแลระบบสามารถดูได้ที่คอมพิวเตอร์ของผู้ใช้
- การนำเข้า PAC: (ตัวเลือกนี้ไม่พร้อมใช้งานสำหรับส่วนกำหนดค่าผู้ดูแลระบบ โดยจะพร้อมใช้งานเฉพาะสำหรับส่วนกำหนดค่าผู้ใช้บนเครื่องที่ติดตั้ง Windows* XP เท่านั้น)
- คลิก เลือกเซิร์ฟเวอร์ เพื่อเปิดรายการ Protected Access Credentials (PAC)
- คลิก นำเข้า เพื่อนำเข้า PAC ที่อยู่ในคอมพิวเตอร์เครื่องนี้หรือบนเซิร์ฟเวอร์
- เลือก PAC และคลิก เปิด
- ป้อนรหัสผ่าน PAC (ป้อนหรือไม่ก็ได้)
- คลิก ตกลง เพื่อปิดหน้านี้ PAC ที่เลือกไว้จะถูกเพิ่มไปยังรายการ PAC
- คลิก ถัดไป เพื่อเลือกวิธีการรับข้อมูลรับรอง หรือคลิก ตกลง เพื่อบันทึกการตั้งค่า EAP-FAST และกลับไปยังรายการส่วนกำหนดค่า PAC จะถูกนำไปใช้สำหรับส่วนกำหนดค่าไร้สายนี้
ขั้นตอนที่ 2 จาก 2: ข้อมูลเพิ่มเติมของ EAP-FAST
สำหรับการตรวจสอบความถูกต้องของเครื่องลูกข่ายในอุโมงค์ที่สร้างขึ้น เครื่องลูกข่ายจะส่งชื่อผู้ใช้และรหัสผ่านเพื่อตรวจสอบความถูกต้องและกำหนดนโยบายการอนุญาตเครื่องลูกข่าย
- คลิก ข้อมูลรับรองผู้ใช้ เพื่อเลือกหนึ่งในวิธีการรับข้อมูลรับรองดังต่อไปนี้: ใช้ล็อกออนของ Windows, แสดงกล่องโต้ตอบแต่ละครั้งที่ข้าพเจ้าเชื่อมต่อ หรือ ใช้ข้อมูลต่อไปนี้
- คลิก ตกลง เพื่อบันทึกค่าใหม่และปิดหน้าจอ ไม่จำเป็นต้องทำการตรวจสอบเซิร์ฟเวอร์
การสร้างการตรวจสอบความถูกต้อง EAP-FAST โดยใช้ Cisco Compatible Extensions เวอร์ชัน 4 (CCXv4)
-
คลิก ส่วนกำหนดค่า... บนหน้าต่างหลักของยูทิลิตีการเชื่อมต่อ WiFi
หรือถ้าคุณทำหน้าที่เป็นผู้ดูแลระบบ ให้เปิด เครื่องมือผู้ดูแลระบบ
- บนหน้าจอส่วนกำหนดค่า คลิก เพิ่ม เพื่อเปิด การตั้งค่าทั่วไปของการสร้างส่วนกำหนดค่า WiFi
- ชื่อเครือข่าย WiFi (SSID): ป้อนตัวระบุเครือข่าย
- ชื่อส่วนกำหนดค่า: ป้อนชื่อส่วนกำหนดค่าที่บ่งบอกความหมายได้
- โหมดการทำงาน: คลิก เครือข่าย (โครงสร้างพื้นฐาน) (พารามิเตอร์นี้ถูกตั้งไว้ที่โครงสร้างพื้นฐานถ้าคุณใช้เครื่องมือผู้ดูแลระบบ)
- ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ: เลือก แบบต่อเนื่อง หรือ แบบล็อกออนล่วงหน้า/ทั่วไป (ขั้นตอนนี้ใช้ได้เฉพาะในกรณีที่คุณใช้เครื่องมือผู้ดูแลระบบเท่านั้น
- คลิก ถัดไป เพื่อเปิด การตั้งค่าความปลอดภัย
- คลิก ความปลอดภัยองค์กร
- การตรวจสอบความถูกต้องเครือข่าย: เลือก WPA-Enterprise หรือ WPA2-Enterprise (แนะนำ)
- การเข้ารหัสข้อมูล: แนะนำให้ใช้ AES-CCMP
- ใช้งาน 802.1X: ที่เลือก
- ประเภทการตรวจสอบความถูกต้อง: เลือก EAP-FAST เพื่อใช้กับการเชื่อมต่อนี้
ขั้นที่ 1 จาก 3: การจัดสรร EAP-FAST
ด้วย CCXv4 EAP-FAST สนับสนุนการทำงาน 2 โหมดสำหรับการกำหนด:
- โหมดเซิร์ฟเวอร์ที่ตรวจสอบความถูกต้อง: การกำหนดภายในอุโมงค์ TLS ที่ตรวจสอบความถูกต้องของเซิร์ฟเวอร์
- โหมดเซิร์ฟเวอร์ที่ไม่ได้ตรวจสอบความถูกต้อง: การกำหนดภายในอุโมงค์ TLS ที่ไม่ได้ตรวจสอบความถูกต้อง
หมายเหตุ: โหมดเซิร์ฟเวอร์ที่ตรวจสอบความถูกต้องจะมีข้อดีด้านความปลอดภัยมากกว่าโหมดเซิร์ฟเวอร์ที่ไม่ได้ตรวจสอบความถูกต้อง แม้ว่าจะมีการใช้งาน EAP-MS-CHAP-V2 เป็นวิธีการภายใน โหมดนี้จะป้องกันการแลกเปลี่ยนข้อมูล EAP-MS-CHAP-V2 จากผู้บุกรุกเข้าสู่ระบบ โดยการตรวจสอบความถูกต้องของเซิร์ฟเวอร์ก่อนการแลกเปลี่ยน MS-CHAP-V2 ดังนั้นจึงควรใช้โหมดเซิร์ฟเวอร์ที่ตรวจสอบความถูกต้องเมื่อสามารถใช้ได้ EAP-FAST peer ต้องใช้โหมดเซิร์ฟเวอร์ที่ตรวจสอบความถูกต้อง เมื่อใดก็ตามที่มีใบรับรองหรือ public key เพื่อตรวจสอบความถูกต้องของเซิร์ฟเวอร์ และเพื่อให้มั่นใจได้ว่าเป็นวิธีปฏิบัติเพื่อความปลอดภัยที่ดีที่สุด
การกำหนด Protected Access Credentials (PAC):
EAP-FAST จะใช้คีย์ PAC เพื่อปกป้องข้อมูลรับรองผู้ใช้ที่ถูกแลกเปลี่ยน ตัวตรวจสอบความถูกต้อง EAP-FAST ทั้งหมดจะถูกระบุโดย ID ผู้มีสิทธิ์ (A-ID) ตัวตรวจสอบความถูกต้องภายในเครื่องจะส่ง A-ID ไปยังเครื่องลูกข่ายที่ตรวจสอบความถูกต้อง และเครื่องลูกข่ายจะตรวจสอบฐานข้อมูลเพื่อค้นหา A-ID ที่ตรงกัน ถ้าเครื่องลูกข่ายไม่รู้จัก A-ID ก็จะร้องขอ PAC ใหม่
หมายเหตุ: ถ้า Protected Access Credential (PAC) ที่กำหนดไว้มีความถูกต้อง ยูทิลิตีการเชื่อมต่อ WiFi จะไม่แสดงกล่องโต้ตอบให้กับผู้ใช้สำหรับการยอมรับ PAC ถ้า PAC ไม่ถูกต้อง ยูทิลิตีการเชื่อมต่อ WiFi จะล้มเลิกการกำหนดโดยอัตโนมัติ ข้อความสถานะจะแสดงอยู่ใน Wireless Event Viewer ซึ่งผู้ดูแลระบบสามารถดูได้ที่คอมพิวเตอร์ของผู้ใช้
- ตรวจสอบว่าไม่ได้เลือก ยกเลิกการใช้งานการปรับปรุง EAP-FAST (CCXv4) ยอมรับการกำหนดที่ไม่ได้ตรวจสอบความถูกต้อง และ ยอมรับการกำหนดที่ตรวจสอบความถูกต้อง ถูกเลือกไว้เป็นค่าเริ่มต้น เมื่อเลือก PAC จากเซิร์ฟเวอร์เริ่มต้นแล้ว คุณสามารถยกเลิกวิธีการกำหนดอย่างใดอย่างหนึ่งเหล่านี้ได้
- เซิร์ฟเวอร์เริ่ม: เลือกค่าเป็น ไม่มี แล้ว คลิก เลือกเซิร์ฟเวอร์ เพื่อเลือก PAC จากเซิร์ฟเวอร์ผู้ให้บริการ PAC ที่เป็นค่าเริ่มต้น หรือเลือกเซิร์ฟเวอร์จากรายการ กลุ่มเซิร์ฟเวอร์ หน้าการเลือกเซิร์ฟเวอร์ EAP-FAST ที่เป็นค่าเริ่มต้น (ผู้ให้บริการ PAC) จะเปิดขึ้น
หมายเหตุ: กลุ่มเซิร์ฟเวอร์จะแสดงขึ้น ถ้าคุณได้ติดตั้ง แพ็คเกจผู้ดูแลระบบ ที่มีการตั้งค่ากลุ่ม EAP-FAST A-ID (ID ผู้มีสิทธิ์)
การกระจาย PAC สามารถทำให้เสร็จสมบูรณ์ได้โดยผู้ใช้ (นอกย่านความถี่) การกำหนดโดยผู้ใช้ทำให้คุณสามารถสร้าง PAC สำหรับผู้ใช้บนเซิร์ฟเวอร์ ACS ได้ จากนั้นจึงนำเข้าไปยังคอมพิวเตอร์ของผู้ใช้ แฟ้ม PAC สามารถป้องกันด้วยรหัสผ่าน ซึ่งผู้ใช้ต้องป้อนเข้าไประหว่างการนำเข้า PAC
- การนำเข้า PAC:
- คลิก นำเข้า เพื่อนำเข้า PAC จากเซิร์ฟเวอร์ PAC
- คลิก เปิด
- ป้อนรหัสผ่าน PAC (ป้อนหรือไม่ก็ได้)
- คลิก ตกลง จะเป็นการปิดหน้านี้ PAC ที่เลือกจะถูกนำไปใช้สำหรับส่วนกำหนดค่าไร้สายนี้
EAP-FAST CCXv4 จะช่วยสนับสนุนการกำหนดข้อมูลรับรองอื่นๆ ผ่านทาง PAC ที่กำหนดไว้ในขณะนี้เพื่อการสร้างอุโมงค์ ประเภทข้อมูลรับรองที่สนับสนุนประกอบด้วย ใบรับรอง CA ที่เชื่อถือได้ ข้อมูลรับรองของเครื่องสำหรับการตรวจสอบความถูกต้องของเครื่อง และ ข้อมูลรับรองผู้ใช้ชั่วคราวที่ใช้เพื่อข้ามการตรวจสอบความถูกต้องของผู้ใช้
ใช้ใบรับรอง (การตรวจสอบความถูกต้อง TLS)
- คลิก ใช้ใบรับรอง (การตรวจสอบความถูกต้อง TLS)
- คลิก การป้องกันรหัสประจำตัว เมื่ออุโมงค์ได้รับการป้องกัน
- เลือกหนึ่งรายการจากรายการต่อไปนี้เพื่อขอรับใบรับรอง: ใช้สมาร์ทการ์ดของข้าพเจ้า, ใช้ใบรับรองที่ออกให้กับคอมพิวเตอร์เครื่อง หรือ ใช้ใบรับรองผู้ใช้บนคอมพิวเตอร์นี้
- ชื่อผู้ใช้: ป้อนชื่อผู้ใช้ที่กำหนดให้สำหรับใบรับรองผู้ใช้
- คลิก ถัดไป
ขั้นที่ 2 จาก 3: ข้อมูลเพิ่มเติมของ EAP-FAST
ถ้าคุณเลือก ใช้ใบรับรอง (การตรวจสอบความถูกต้อง TLS) และ ใช้ใบรับรองผู้ใช้บนคอมพิวเตอร์นี้ ให้คลิก ถัดไป (ไม่จำเป็นต้องใช้รหัสประจำตัวการข้ามเครือข่าย) และทำต่อจนถึง ขั้นตอนที่ 3 เพื่อกำหนดค่าใบรับรองเซิร์ฟเวอร์ EAP-FAST ถ้าคุณไม่ต้องการกำหนดค่าเซิร์ฟเวอร์ EAP-FAST ให้คลิก ตกลง เพื่อบันทึกการตั้งค่าของคุณและกลับไปยังหน้าส่วนกำหนดค่า
ถ้าคุณเลือกที่จะ ใช้สมาร์ทการ์ด ให้เพิ่มรหัสประจำตัวการข้ามเครือข่ายถ้าจำเป็น คลิก ตกลง เพื่อบันทึกการตั้งค่าของคุณ และกลับไปยังหน้าส่วนกำหนดค่า
ถ้าคุณไม่ได้เลือก ใช้ใบรับรอง (การตรวจสอบความถูกต้อง TLS) ให้คลิก ถัดไป เพื่อเลือกโปรโตคอลการตรวจสอบความถูกต้อง CCXv4 อนุญาตให้ใช้ข้อมูลรับรองเพิ่มเติม หรือชุดรหัส TLS ในการสร้างอุโมงค์ได้
โปรโตคอลการตรวจสอบความถูกต้อง: เลือก GTC หรือ MS-CHAP-V2 (ค่าเริ่มต้น)
Generic Token Card (GTC)
ให้ใช้ GTC กับโหมดเซิร์ฟเวอร์ที่ตรวจสอบความถูกต้อง ซึ่งทำให้สามารถที่จะกำหนด peer ที่ใช้ฐานข้อมูลของผู้ใช้อื่นเป็น Lightweight Directory Access Protocol (LDAP) และเทคโนโลยีรหัสผ่านแบบครั้งเดียว (OTP) ไว้ในแบนด์ได้ อย่างไรก็ตาม การเปลี่ยนจะสามารถทำได้เมื่อใช้ร่วมกับชุดรหัส TLS ที่มีการตรวจสอบความถูกต้องของเซิร์ฟเวอร์แล้ว
การกำหนดรหัสผ่านป้อนครั้งเดียว:
- โปรโตคอลการตรวจสอบความถูกต้อง: เลือก GTC (Generic Token Card)
- ข้อมูลรับรองผู้ใช้: เลือก แสดงกล่องโต้ตอบแต่ละครั้งที่ข้าพเจ้าเชื่อมต่อ
- เมื่อเชื่อมต่อแสดงกล่องโต้ตอบสำหรับ: เลือกตัวเลือกข้อใดข้อหนึ่งต่อไปนี้:
ชื่อ |
คำอธิบาย |
รหัสผ่านคงที่ |
ในการเชื่อมต่อ ให้ป้อนข้อมูลรับรองผู้ใช้ |
รหัสผ่านป้อนครั้งเดียว (OTP) |
ขอรับรหัสผ่านจากอุปกรณ์ฮาร์ดแวร์โทเคน |
PIN (ซอฟต์โทเคน) |
ขอรับรหัสผ่านจากโปรแกรมซอฟต์โทเคน |
- คลิก ตกลง
- เลือกส่วนกำหนดค่าจากรายการเครือข่าย WiFi
- คลิก เชื่อมต่อ เมื่อมีกล่องโต้ตอบแสดงขึ้น ให้ป้อนชื่อผู้ใช้, โดเมน และรหัสผ่านป้อนครั้งเดียว (OTP)
- คลิก ตกลง
MS-CHAP-V2 ค่าพารามิเตอร์นี้ระบุโปรโตคอลการตรวจสอบความถูกต้องที่ทำงานบนอุโมงค์ PEAP
- โปรโตคอลการตรวจสอบความถูกต้อง: เลือก MS-CHAP-V2
- เลือกข้อมูลรับรองผู้ใช้: ใช้ล็อกออนของ Windows, แสดงกล่องโต้ตอบแต่ละครั้งที่ข้าพเจ้าเชื่อมต่อ หรือ ใช้ข้อมูลต่อไปนี้
- รหัสประจำตัวการข้ามเครือข่าย: รหัสประจำตัวการข้ามเครือข่ายอาจถูกใส่ไว้ในฟิลด์นี้ หรือคุณอาจใช้ %domain%\%username% เป็นรูปแบบเริ่มต้นสำหรับการป้อนรหัสประจำตัวการข้ามเครือข่าย
เมื่อใช้ 802.1X Microsoft IAS RADIUS เป็นเซิร์ฟเวอร์การตรวจสอบความถูกต้อง เซิร์ฟเวอร์ดังกล่าวจะตรวจสอบอุปกรณ์โดยใช้ รหัสประจำตัวการข้ามเครือข่าย จากซอฟต์แวร์ Intel® PROSet/Wireless WiFi และไม่ใช้ชื่อผู้ใช้ โปรโตคอลการตรวจสอบความถูกต้อง MS-CHAP-V2 Microsoft IAS RADIUS ยอมรับเฉพาะชื่อผู้ใช้ที่ถูกต้อง (ผู้ใช้ dotNet) สำหรับรหัสประจำตัวการข้ามเครือข่าย สำหรับเซิร์ฟเวอร์การตรวจสอบความถูกต้องอื่นๆ ทั้งหมด จะใส่รหัสประจำตัวการข้ามเครือข่ายหรือไม่ใส่ก็ได้ ดังนั้น ขอแนะนำให้ใช้โดเมนที่ต้องการ (ตัวอย่างเช่น anonymous@myrealm) สำหรับรหัสประจำตัวการข้ามเครือข่าย แทนการใช้รหัสประจำตัวที่แท้จริง
ขั้นที่ 3 จาก 3: เซิร์ฟเวอร์ EAP-FAST
โหมดการกำหนดเซิร์ฟเวอร์ TLS ที่ตรวจสอบความถูกต้องสามารถใช้งานได้ เมื่อใช้ใบรับรอง CA ที่เชื่อถือได้ ใบรับรองเซิร์ฟเวอร์แบบ self-signed หรือ public key ของเซิร์ฟเวอร์ และ GTC เป็นวิธีการ EAP ภายใน
- เลือกวิธีการใช้ข้อมูลรับรองข้อใดข้อหนึ่งต่อไปนี้: ตรวจสอบใบรับรองเซิร์ฟเวอร์ หรือ ระบุเซิร์ฟเวอร์หรือชื่อใบรับรอง
- คลิก ตกลง เพื่อปิดการตั้งค่าความปลอดภัย
การตั้งค่าผู้ใช้ EAP-FAST
หมายเหตุ: ถ้า แพ็คเกจผู้ดูแลระบบ ที่จะถูกส่งออกไปยังคอมพิวเตอร์ของผู้ใช้ไม่มีการตั้งค่า เปิดใช้ CCXv4 เครื่องมือผู้ดูแลระบบ การตั้งค่าโปรแกรมประยุกต์ ก็จะสามารถเลือกได้เฉพาะการตั้งค่าผู้ใช้ EAP-FAST
การติดตั้งเครื่องลูกข่ายโดยใช้การตรวจสอบความถูกต้อง EAP-FAST:
-
คลิก ส่วนกำหนดค่า... บนหน้าต่างหลักของยูทิลิตีการเชื่อมต่อ WiFi
หรือถ้าคุณทำหน้าที่เป็นผู้ดูแลระบบ ให้เปิด เครื่องมือผู้ดูแลระบบ
- บนหน้าจอส่วนกำหนดค่า คลิก เพิ่ม เพื่อเปิดการตั้งค่าทั่วไปของการสร้างส่วนกำหนดค่า WiFi
- ชื่อเครือข่าย WiFi (SSID): ป้อนตัวระบุเครือข่าย
- ชื่อส่วนกำหนดค่า: ป้อนชื่อส่วนกำหนดค่าที่บ่งบอกความหมายได้
- โหมดการทำงาน: คลิก เครือข่าย (โครงสร้างพื้นฐาน) (พารามิเตอร์นี้ถูกตั้งไว้ที่โครงสร้างพื้นฐานถ้าคุณใช้เครื่องมือผู้ดูแลระบบ)
- ประเภทส่วนกำหนดค่าสำหรับผู้ดูแลระบบ: เลือก แบบต่อเนื่อง หรือ แบบล็อกออนล่วงหน้า/ทั่วไป (ขั้นตอนนี้ใช้ได้เฉพาะในกรณีที่คุณใช้เครื่องมือผู้ดูแลระบบเท่านั้น
- คลิก ถัดไป เพื่อเปิด การตั้งค่าความปลอดภัย
- คลิก ความปลอดภัยองค์กร
- การตรวจสอบความถูกต้องเครือข่าย: เลือก WPA-Enterprise หรือ WPA2-Enterprise
- การเข้ารหัสข้อมูล: เลือกตัวเลือกข้อใดข้อหนึ่งต่อไปนี้:
- TKIP จะมีการผสมคีย์สำหรับแต่ละกลุ่มข้อมูล, การตรวจสอบความสมบูรณ์ของข้อความ และกลไกการป้อนซ้ำ
- AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) ถูกใช้เป็นวิธีการเข้ารหัสในช่วงที่การป้องกันข้อมูลระดับสูงมีความสำคัญ แนะนำให้ใช้ AES-CCMP
- ใช้งาน 802.1X: ที่เลือก
- ประเภทการตรวจสอบความถูกต้อง: เลือก EAP-FAST เพื่อใช้กับการเชื่อมต่อนี้
- คลิก
ตัวเลือก Cisco เพื่อเลือก ยอมรับการข้ามเครือข่ายแบบเร็ว (CCKM) ซึ่งเปิดใช้อแด็ปเตอร์ WiFi ของเครื่องลูกข่ายสำหรับการข้ามเครือข่ายแบบเร็วและปลอดภัย
ขั้นที่ 1 จาก 3: การกำหนด EAP-FAST (การตั้งค่าผู้ใช้)
EAP-FAST จะใช้คีย์ PAC เพื่อปกป้องข้อมูลรับรองผู้ใช้ที่ถูกแลกเปลี่ยน ตัวตรวจสอบความถูกต้อง EAP-FAST ทั้งหมดจะถูกระบุโดย ID ผู้มีสิทธิ์ (A-ID) ตัวตรวจสอบความถูกต้องภายในเครื่องจะส่ง A-ID ไปยังเครื่องลูกข่ายที่ตรวจสอบความถูกต้อง และเครื่องลูกข่ายจะตรวจสอบฐานข้อมูลเพื่อค้นหา A-ID ที่ตรงกัน ถ้าเครื่องลูกข่ายไม่รู้จัก A-ID ก็จะร้องขอ PAC ใหม่
หมายเหตุ: ถ้า Protected Access Credential (PAC) ที่กำหนดไว้มีความถูกต้อง ยูทิลิตีการเชื่อมต่อ WiFi จะไม่แสดงกล่องโต้ตอบให้กับผู้ใช้สำหรับการยอมรับ PAC ถ้า PAC ไม่ถูกต้อง ยูทิลิตีการเชื่อมต่อ WiFi จะล้มเลิกการกำหนดโดยอัตโนมัติ ข้อความสถานะจะแสดงอยู่ใน Wireless Event Viewer ซึ่งผู้ดูแลระบบสามารถดูได้ที่คอมพิวเตอร์ของผู้ใช้
- ไม่กาเลือก ปิดการใช้งานการปรับปรุง EAP-FAST (CCXv4)
- ยอมรับการกำหนดที่ตรวจสอบความถูกต้อง และ ยอมรับการกำหนดที่ไม่ได้ตรวจสอบความถูกต้อง ถูกเลือกไว้
- เซิร์ฟเวอร์เริ่ม: เลือกค่าเป็น ไม่มี แล้ว คลิก เลือกเซิร์ฟเวอร์ เพื่อเลือก PAC จากเซิร์ฟเวอร์การตรวจสอบความถูกต้องของ PAC หน้าการเลือก Protected Access Credentials จะเปิดขึ้น
หมายเหตุ: กลุ่มเซิร์ฟเวอร์จะแสดงขึ้น ถ้าคุณได้ติดตั้ง แพ็คเกจผู้ดูแลระบบ ที่มีการตั้งค่ากลุ่ม EAP-FAST A-ID (ID ผู้มีสิทธิ์)
การกระจาย PAC สามารถทำให้เสร็จสมบูรณ์ได้โดยผู้ใช้ (นอกย่านความถี่) การกำหนดโดยผู้ใช้ทำให้คุณสามารถสร้าง PAC สำหรับผู้ใช้บนเซิร์ฟเวอร์ ACS ได้ จากนั้นจึงนำเข้าไปยังคอมพิวเตอร์ของผู้ใช้ แฟ้ม PAC สามารถป้องกันด้วยรหัสผ่าน ซึ่งผู้ใช้ต้องป้อนเข้าไประหว่างการนำเข้า PAC
- การนำเข้า PAC:
- คลิก นำเข้า เพื่อนำเข้า PAC จากเซิร์ฟเวอร์ PAC
- คลิก เปิด
- ป้อนรหัสผ่าน PAC (ป้อนหรือไม่ก็ได้)
- คลิก ตกลง เพื่อปิดหน้านี้ PAC ที่เลือกจะถูกนำไปใช้สำหรับส่วนกำหนดค่าไร้สายนี้
- คลิก ถัดไป
- หากนี่ไม่ใช่ส่วนกำหนดค่าแบบล็อกออนล่วงหน้า/ทั่วไป ให้คลิก ถัดไป และข้ามไปที่ ขั้นตอนที่ 3 จาก 3: เซิร์ฟเวอร์ EAP-FAST
- หากนี่เป็นส่วนกำหนดค่าแบบล็อกออนล่วงหน้า/ทั่วไป หรือหากคุณไม่ได้กำลังใช้เครื่องมือของผู้ดูแลระบบในการสร้างส่วนกำหนดค่านี้ ให้ดำเนินการต่อตามขั้นตอนถัดไป
ขั้นที่ 2 จาก 3: ข้อมูลเพิ่มเติมของ EAP-FAST
- โปรโตคอลการตรวจสอบความถูกต้อง: เลือก MS-CHAP-V2 หรือ GTC
- ข้อมูลรับรองผู้ใช้: เลือก ใช้ล็อกออนของ Windows หรือใช้สิ่งต่อไปนี้
- หากคุณเลือก ใช้ข้อมูลต่อไปนี้ คุณก็จะต้องป้อนชื่อผู้ใช้, โดเมน, รหัสผ่าน และยืนยันรหัสผ่าน
- ป้อนรหัสประจำตัวการข้ามเครือข่าย: %DOMAIN%\%USERNAME
- คลิก ถัดไป
ขั้นที่ 3 จาก 3: เซิร์ฟเวอร์ EAP-FAST
- คลิก ตรวจสอบใบรับรองเซิร์ฟเวอร์ หากต้องการ และเลือกผู้ออกใบรับรองจากเมนูแบบหล่นลง การเลือกเริ่มต้นคือ CA ใดๆ ที่เชื่อถือได้
- หากต้องการ ให้คลิก ระบุชื่อเซิร์ฟเวอร์หรือชื่อใบรับรอง และป้อนชื่อ จากนั้นให้คลิก ชื่อเซิร์ฟเวอร์ต้องตรงกับรายการที่ระบุ หรือ ชื่อโดเมนต้องลงท้ายด้วยรายการที่ระบุ ชื่อเซิร์ฟเวอร์สามารถมีอักขระทั้งหมด รวมถึงอักขระพิเศษ
- คลิก ตกลง