הגדרת תצורה של פרופילים במצב הפעלה רשת (תשתית)

רשת תשתית מורכבת מנקודת גישה אחת או יותר וממחשב אחד או יותר שמותקן בהם מתאם WiFi‏. לכל נקודת גישה נדרש חיבור מחווט לרשת WiFi‏. סעיף זה מתאר כיצד ליצור פרופילי WiFi שונים.

• יצירת פרופיל Windows XP* ללא אימות או הצפנת נתונים
• יצירת פרופיל Windows XP* עם אימות רשת משותף
• יצירת פרופיל Windows XP* עם אימות רשת WPA-אישי או WPA2-אישי
• יצירת פרופיל Windows XP* עם אימות רשת WPA-ארגוני או WPA2-ארגוני
• יצירת פרופיל Windows XP* עם הצפנת נתונים WEP ואימות רשת EAP-SIM
• יצירת פרופיל Windows XP* עם אימות רשת TLS
• יצירת פרופיל Windows XP* עם אימות רשת TTLS
• יצירת פרופיל Windows XP* עם אימות רשת PEAP
• יצירת פרופיל Windows XP* עם אימות רשת LEAP
• יצירת פרופיל Windows XP* עם אימות רשת EAP-AKA
• יצירת פרופיל Windows XP* עם אימות רשת EAP-FAST

יצירת פרופיל Windows XP* ללא אימות או הצפנת נתונים (אף אחד)

התראה: רשתות שאינן משתמשות באימות או בהצפנה פגיעות מאוד לגישה של משתמשים לא מורשים.

כדי ליצור פרופיל עבור חיבור רשת WiFi ללא הצפנה:

1. לחץ על פרופילים בחלון הראשי של תוכנית השירות לחיבור Intel(R) PROSet/Wireless WiFi. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
2. ברשימה/כרטיסייה פרופילים, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל WiFi‏.
3. שם פרופיל: הזן שם פרופיל תיאורי.
4. שם רשת WiFi‏ (SSID‏): הזן את מזהה הרשת.
5. מצב הפעלה: לחץ על רשת (תשתית). (אם תשתמש בכלי מנהל הרשת, פרמטר זה יוגדר "תשתית").
6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
8. לחץ על אבטחה ארגונית.
9. אימות רשת: פתוח (נבחר).

אימות פתוח מאפשר להתקן אלחוטי גישה לרשת ללא אימות 802.11. אם הצפנה אינה מאופשרת ברשת, כל התקן אלחוטי עם שם הרשת (SSID) המתאים יכול להשתייך לנקודת גישה ולקבל גישה לרשת.

10. הצפנת נתונים: הגדרת ברירת המחדל היא אף אחד.
11. לחץ על אישור. הפרופיל מתווסף לרשימה פרופילים ומתחבר לרשת האלחוטית.

יצירת פרופיל Windows XP* עם אימות רשת משותף

בעת שימוש באימות מפתח משותף, נקודת ההנחה היא שכל תחנה אלחוטית קיבלה את המפתח המשותף הסודי דרך ערוץ מאובטח, שאינו תלוי בערוץ תקשורת 802.11 של רשת אלחוטית. עבור אימות מפתח משותף נדרש שהלקוח יגדיר מפתח WEP או CKIP סטטי. ללקוח ניתנת גישה רק לאחר שעבר אימות מבוסס הזדהות. CKIP מספק הצפנת נתונים חזקה יותר מאשר WEP, אך לא כל מערכות ההפעלה ונקודות הגישה תומכות בו.

כדי ליצור פרופיל עם אימות משותף:

1. לחץ על פרופילים בחלון הראשי של תוכנית השירות לחיבור WiFi. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
2. ברשימה/כרטיסייה פרופילים, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל WiFi‏.
3. שם פרופיל: הזן שם פרופיל תיאורי.
4. שם רשת WiFi‏ (SSID‏): הזן את מזהה הרשת.
5. מצב הפעלה: לחץ על רשת (תשתית). (אם תשתמש בכלי מנהל הרשת, פרמטר זה יוגדר "תשתית").
6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
8. לחץ על אבטחה ארגונית.
9. אימות רשת: בחר משותף. אימות משותף מבוצע באמצעות מפתח WEP מוגדר מראש.
10. הצפנת נתונים: בחר ללא, WEP (64 סיביות או 128 סיביות) או CKIP (64 סיביות או 128 סיביות).
11. אפשור 802.1X‏: מנוטרל.
12. רמת הצפנה: 64 סיביות או 128 סיביות: בעת מעבר בין הצפנת 64 סיביות ל- 128 סיביות, ההגדרות הקודמות נמחקות ויש להזין מפתח חדש.
13. אינדקס מפתח: בחר 1, 2, 3 או 4. שנה את אינדקס המפתח כדי לציין עד ארבע סיסמאות.
14. סיסמת אבטחה אלחוטית (מפתח הצפנה): הזן את סיסמת הרשת האלחוטית (מפתח הצפנה). ערך סיסמה זו זהה לזה המשמש את נקודת הגישה האלחוטית או הנתב. כדי לקבל סיסמה זו, פנה אל מנהל הרשת.
• סיסמת צירוף מילים (64 סיביות): הזן חמישה (5) תווים אלפאנומריים, 0-9, a-z או A-Z.
• מפתח הקסדצימלי (64 סיביות): הזן 10 תווים הקסדצימליים, 0-9, A-F.
• סיסמת צירוף מילים (128 סיביות): הזן 13 תווים אלפאנומריים, 0-9, a-z או A-Z.
• מפתח הקסדצימלי (128 סיביות): הזן 26 תווים הקסדצימליים, 0-9, A-F‏.

יצירת פרופיל Windows XP* עם אימות רשת WPA-אישי או WPA2-אישי

גישה מאובטחת Wi-Fi‏ (WPA) מהווה שיפור אבטחה המגביר משמעותית את רמת אבטחת הנתונים ובקרת הגישה לרשת אלחוטית. WPA-אישי כופה חילופי מפתחות ופועל רק עם מפתחות הצפנה דינמיים. אם נקודת הגישה האלחוטית או הנתב תומכים ב- WPA-אישי או ב- WPA2-אישי, אזי עליך לאפשר אותו בנקודת הגישה ולספק סיסמה ארוכה וחזקה. עבור רשתות אישיות או ביתיות ללא שרת RADIUS או AAA, השתמש בגישה מאובטחת Wi-Fi אישית.

• WPA-אישי: שיטת אבטחת אלחוט המספקת הגנה חזקה על נתונים ומונעת גישה לא מאושרת לרשת, עבור רשתות קטנות. שיטה זו משתמשת בהצפנת Temporal Key Integrity Protocol‏ (TKIP) או ב- AES-CCMP ומגינה מפני גישה לא מורשית לרשת באמצעות מפתח טרום-שיתוף (PDK‏).
• WPA2-אישי: שיטת אבטחת אלחוט המשכית ל- WPA המספקת הגנה חזקה יותר על נתונים ומונעת גישה לא מאושרת לרשת, עבור רשתות קטנות.

מערכת ההפעלה של המחשב עשויה שלא לתמוך בפתרונות אבטחה מסוימים ויהיה צורך בתוכנות נוספות או בחומרה מסוימת, בנוסף לתמיכה בתשתית של ה- LAN האלחוטי. לקבלת פרטים, פנה אל יצרן המחשב.

כדי להוסיף פרופיל עם אימות רשת WPA-אישי או WPA2-אישי:

1. לחץ על פרופילים בחלון הראשי של תוכנית השירות לחיבור WiFi. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
2. ברשימה/כרטיסייה פרופילים, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל WiFi‏.
3. שם פרופיל: הזן שם פרופיל תיאורי.
4. שם רשת WiFi‏ (SSID‏): הזן את מזהה הרשת.
5. מצב הפעלה: לחץ על רשת (תשתית). (אם תשתמש בכלי מנהל הרשת, פרמטר זה יוגדר "תשתית").
6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
8. לחץ על אבטחה ארגונית.
9. אימות רשת: בחר WPA-אישי או WPA2-אישי. ראה "סקירת אבטחה".
10. הצפנת נתונים: בחר TKIP או AES-CCMP‏.
11. סיסמה: הזן מחרוזת טקסט הכוללת 8 עד 63 תווים. ככל שהסיסמה ארוכה יותר, כך אבטחה של הרשת האלחוטית חזקה יותר. במחשב זה ובכל שאר ההתקנים האלחוטיים הניגשים לרשת האלחוטית, יש להשתמש באותה סיסמה שהוזנה בנקודת הגישה.

יצירת פרופיל Windows XP* עם אימות רשת WPA-ארגוני או WPA2-ארגוני

עבור WPA2-ארגוני נדרש שרת אימות.

• WPA-ארגוני: שיטת אבטחת אלחוט המספקת הגנה חזקה על נתונים, עבור משתמשים מרובים ורשתות ניהול גדולות. שיטה זו משתמשת במסגרת אימות 802.1X עם הצפנת TKIP או AES-CCMP ומונעת גישה לא מורשית לרשת על-ידי אימות משתמשי רשת דרך שרת אימות.
• WPA2-ארגוני: שיטת אבטחת אלחוט המשכית ל- WPA המספקת הגנה חזקה יותר על נתונים, עבור משתמשים מרובים ורשתות ניהול גדולות. היא מונעת גישה לא מורשית לרשת על-ידי אימות משתמשי רשת דרך שרת אימות.

כדי להוסיף פרופיל המשתמש באימות WPA-ארגוני או WPA2-ארגוני:

1. קבל שם משתמש וסיסמה עבור שרת ה- RADIUS ממנהל הרשת.
2. לסוגי אימות מסוימים יש להשיג ולהתקין אישור לקוח. ראה "יצירת פרופיל עם אימות TLS" או התייעץ עם מנהל המערכת.
3. לחץ על פרופילים בחלון הראשי של תוכנית השירות לחיבור WiFi. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
4. ברשימה פרופילים, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל WiFi‏.
5. שם פרופיל: הזן שם פרופיל תיאורי.
6. שם רשת WiFi‏ (SSID‏): הזן את מזהה הרשת.
7. מצב הפעלה: לחץ על רשת (תשתית). (אם תשתמש בכלי מנהל הרשת, פרמטר זה יוגדר "תשתית").
8. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
9. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
10. לחץ על אבטחה ארגונית.
11. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני.
12. הצפנת נתונים: בחר TKIP או AES-CCMP‏.
13. אפשור 802.1X‏: נבחר כברירת מחדל.
14. סוג אימות: בחר אחת מהאפשרויות הבאות: EAP-SIM‏, LEAP‏, TLS‏, TTLS‏, PEAP או EAP-FAST‏.

הגדרת תצורה של פרופיל רשת באמצעות סוגי אימות 802.1X

יצירת פרופיל Windows XP* עם הצפנת נתונים WEP ואימות רשת EAP-SIM

EAP-SIM משתמש במפתח WEP דינמי מבוסס-הפעלה, אשר נגזר ממתאם הלקוח ומשרת RADIUS, כדי להצפין נתונים. ב- EAP-SIM נדרש ממך להזין קוד אימות משתמש, או מספר זיהוי אישי (PIN), למטרת תקשורת עם כרטיס מודול זהות המנוי (SIM). כרטיס SIM הוא כרטיס חכם מיוחד המשמש רשתות סלולריות דיגיטליות המבוססות על Global System for Mobile Communications‏ (GSM‏).

כדי להוסיף פרופיל עם אימות EAP-SIM‏:

1. לחץ על פרופילים בחלון הראשי של תוכנית השירות לחיבור WiFi. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
2. ברשימה פרופילים, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל WiFi‏.
3. שם פרופיל: הזן שם פרופיל.
4. שם רשת WiFi‏ (SSID‏): הזן את מזהה הרשת.
5. מצב הפעלה: לחץ על רשת (תשתית). (אם תשתמש בכלי מנהל הרשת, פרמטר זה יוגדר "תשתית").
6. סוג פרופיל מנהל הרשת: בחר טרום-כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת. לא ניתן להשתמש ב- EAP-SIM עבור פרופילים מתמידים).
7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
8. לחץ על אבטחה ארגונית.
9. אימות רשת: בחר פתוח (מומלץ).
10. הצפנת נתונים: בחר WEP.
11. לחץ על אפשור 802.1X‏.
12. סוג אימות: בחר EAP-SIM.

ניתן להשתמש באימות EAP-SIM עם:

• סוגי אימות רשת: פתוח, משותף, WPA-ארגוני ו- WPA2-ארגוני
• סוגי הצפנת נתונים: אף אחד, WEP, TKIP, AES-CCMP ו- CKIP

משתמש EAP-SIM (אופציונלי)

1. לחץ על ציין שם משתמש (זהות):
2. בשדה שם משתמש: הזן את שם המשתמש שהוקצה לכרטיס ה- SIM.
3. לחץ על אישור.

יצירת פרופיל Windows XP* עם אימות רשת EAP-AKA

EAP-AKA (שיטת פרוטוקול אימות בר הרחבה עבור אימות והסכם מפתח ל- UMTS) מהווה מנגנון EAP לשם אימות והפצת מפתח הפעלה, באמצעות מערכת תקשורת נייד אוניברסלית (UMTS) למודול זהות מנוי (USIM). כרטיס ה- USIM הוא כרטיס חכם מיוחד המשמש ברשתות סלולריות כדי לאמת משתמש מסוים ברשת.

ניתן להשתמש באימות EAP-AKA עם:

• סוגי אימות רשת: פתוח, WPA-ארגוני ו- WPA2-ארגוני
• סוגי הצפנת נתונים: WEP או CKIP עבור אימות פתוח, TKIP או AES-CCMP עבור אימות ארגוני.

EAP-AKA משתמש באבטחה ארגונית ועבור אימות רשת יכול להשתמש באימות פתוח, WPA ארגוני או WPA2 ארגוני.

כדי להוסיף פרופיל עם אימות EAP-AKA:

1. לחץ על פרופילים בחלון הראשי של תוכנית השירות לחיבור WiFi. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
2. ברשימה פרופילים, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל WiFi‏.
3. שם פרופיל: הזן שם פרופיל.
4. שם רשת WiFi‏ (SSID‏): הזן את מזהה הרשת.
5. מצב הפעלה: לחץ על רשת (תשתית). (אם תשתמש בכלי מנהל הרשת, פרמטר זה יוגדר "תשתית").
6. סוג פרופיל מנהל הרשת: בחר טרום-כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת. לא ניתן להשתמש ב- EAP-SIM עבור פרופילים מתמידים).
7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
8. לחץ על אבטחה ארגונית.
9. אימות רשת: בחר פתוח, WPA-ארגוני או WPA2-ארגוני.
10. הצפנת נתונים: בחר WEP או CKIP עבור אימות פתוח, TKIP או AES-CCMP עבור אימות ארגוני.
11. לחץ על אפשור 802.1X, אם האפשרות לא נבחרה כבר.
12. סוג אימות: בחר EAP-AKA.

משתמש EAP-AKA (אופציונלי)

1. לחץ על ציין שם משתמש (זהות):
2. בשדה שם משתמש: הזן את שם המשתמש שהוקצה לכרטיס ה- USIM.
3. לחץ על אישור.

יצירת פרופיל Windows XP* עם אימות רשת TLS

הגדרות אלה מגדירות את הפרוטוקול ואת האישורים המשמשים לאימות משתמש. אימות Transport Layer Security‏ (TLS) הוא שיטת אימות דו-סטרי המשתמשת באישורים דיגיטליים בלבד כדי לוודא את הזהות של לקוח ושל שרת.

כדי להוסיף פרופיל עם אימות TLS‏:

1. לחץ על פרופילים בחלון הראשי של תוכנית השירות לחיבור WiFi. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
2. ברשימה פרופילים, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל WiFi‏.
3. שם פרופיל: הזן שם פרופיל תיאורי.
4. שם רשת WiFi‏ (SSID‏): הזן את מזהה הרשת.
5. מצב הפעלה: לחץ על רשת (תשתית). (אם תשתמש בכלי מנהל הרשת, פרמטר זה יוגדר "תשתית").
6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
8. לחץ על אבטחה ארגונית.
9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני (מומלץ).
10. הצפנת נתונים: בחר AES-CCMP (מומלץ).
11. אפשור 802.1X‏: נבחר כברירת מחדל.
12. סוג אימות: בחר TLS שישמש עם חיבור זה.

שלב 1 מתוך 2: משתמש TLS

1. קבל והתקן אישור לקוח. ראה "יצירת פרופיל עם אימות TLS" או התייעץ עם מנהל המערכת.
2. כדי לקבל אישור, בחר אחת מהאפשרויות הבאות: השתמש בכרטיס החכם שלי, השתמש באישור שהונפק למחשב זה או השתמש באישור משתמש במחשב זה.
3. לחץ על הבא כדי לפתוח את ההגדרות של שרת TLS ‏‏.

שלב 2 מתוך 2: שרת TLS

1. בחר אחת משיטות אחזור התעודות הבאות: אמת הרשאת שרת או ציין שם שרת או שם הרשאה.
2. לחץ על אישור. הפרופיל מתווסף לרשימת הפרופילים.
3. לחץ על הפרופיל החדש שבסוף רשימת הפרופילים. השתמש בחצים למעלה ולמטה כדי לשנות את העדיפות של הפרופיל החדש.
4. לחץ על התחבר כדי להתחבר לרשת האלחוטית שנבחרה.
5. לחץ על אישור כדי לסגור את Intel PROSet/Wireless WiFi‏.

יצירת פרופיל Windows XP* עם אימות רשת TTLS

אימות TTLS: הגדרות אלה מגדירות את הפרוטוקול ואת האישורים המשמשים לאימות משתמש. הלקוח משתמש ב- EAP-TLS כדי לאמת את השרת וליצור ערוץ מוצפן-TLS בין הלקוח לשרת. באפשרות הלקוח להשתמש בפרוטוקול אימות אחר. בדרך כלל, פרוטוקולים מבוססי סיסמה מזדהים דרך ערוץ מוצפן TLS שאינו חשוף.

כדי להגדיר לקוח עם אימות TTLS‏:

1. לחץ על פרופילים בחלון הראשי של תוכנית השירות לחיבור WiFi. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
2. ברשימה פרופילים, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל WiFi‏.
3. שם פרופיל: הזן שם פרופיל תיאורי.
4. שם רשת WiFi‏ (SSID‏): הזן את מזהה הרשת.
5. מצב הפעלה: לחץ על רשת (תשתית). (אם תשתמש בכלי מנהל הרשת, פרמטר זה יוגדר "תשתית").
6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
8. לחץ על אבטחה ארגונית.
9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני (מומלץ).
10. הצפנת נתונים: בחר TKIP או AES-CCMP (מומלץ).
11. אפשור 802.1X‏: נבחר כברירת מחדל.
12. סוג אימות: בחר TTLS שישמש עם חיבור זה.

שלב 1 מתוך 2: משתמש TTLS

1. פרוטוקול אימות: פרמטר זה מציין את פרוטוקול האימות הפועל במנהרת TTLS‏. להלן הפרוטוקולים: PAP (ברירת מחדל), CHAP‏, MS-CHAP ו- MS-CHAP-V2‏. לקבלת מידע נוסף, ראה "סקירת אבטחה".
2. תעודות משתמש: עבור פרוטוקולים PAP‏, CHAP‏, MS-CHAP ו- MS-CHAP-V2, בחר אחת משיטות אימות אלה: השתמש בכניסה ל- Windows, הצג הנחיה בכל פעם שאני מתחבר או השתמש בהבא.
3. זהות נדידה: בשדה זה ניתן להזין זהות נדידה או להשתמש ב- %domain%\%username% כתבנית ברירת המחדל להזנת זהות נדידה.

כאשר 802.1X Microsoft IAS RADIUS משמש כשרת אימות, השרת מאמת את ההתקן באמצעות זהות נדידה מתוכנת Intel PROSet/Wireless WiFi ומתעלם משם המשתמש של פרוטוקול אימות MS-CHAP-V2‏. Microsoft IAS RADIUS מקבל רק שם משתמש חוקי (משתמש dotNet) עבור זהות נדידה. עבור כל שאר שרתי האימות, זהות הנדידה אופציונלית. לכן, מומלץ להשתמש בתחום הרצוי (לדוגמה, anonymous@myrealm) עבור זהות הנדידה, במקום בזהות אמיתית.

4. לחץ על הבא כדי לגשת להגדרות שרת ה- TTLS‏.

שלב 2 מתוך 2: שרת TTLS

1. בחר אחת משיטות אחזור התעודות הבאות: אמת הרשאת שרת או ציין שם שרת או שם הרשאה.
2. לחץ על אישור כדי לשמור את ההגדרה ולסגור את הדף.

יצירת פרופיל Windows XP* עם אימות רשת PEAP

אימות PEAP: הגדרות PEAP נדרשות לאימות הלקוח בשרת האימות. הלקוח משתמש ב- EAP-TLS כדי לאמת את השרת וליצור ערוץ מוצפן-TLS בין הלקוח לשרת. כדי לאפשר אימות שרת, באפשרות הלקוח להשתמש במנגנון EAP אחר בערוץ מוצפן זה, כגון Microsoft Challenge Authentication Protocol‏ (MS-CHAP) גרסה 2. מנות בקשת ההזדהות והתשובה נשלחות דרך ערוץ מוצפן TLS שאינו חשוף. הדוגמה הבאה מתארת את אופן השימוש ב- WPA עם הצפנת AES-CCMP או TKIP עם אימות PEAP‏.

כדי להגדיר לקוח עם אימות PEAP: קבל והתקן אישור לקוח. ראה "יצירת פרופיל Windows XP* עבור אימות TLS" או התייעץ עם מנהל המערכת.

1. לחץ על פרופילים בחלון הראשי של תוכנית השירות לחיבור WiFi. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
2. ברשימה פרופילים, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל WiFi‏.
3. שם פרופיל: הזן שם פרופיל תיאורי.
4. שם רשת WiFi‏ (SSID‏): הזן את מזהה הרשת.
5. מצב הפעלה: לחץ על רשת (תשתית). (אם תשתמש בכלי מנהל הרשת, פרמטר זה יוגדר "תשתית").
6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
8. לחץ על אבטחה ארגונית.
9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני (מומלץ).
10. הצפנת נתונים: בחר אחת מהאפשרויות הבאות: מומלץ AES-CCMP‏.
11. אפשור 802.1X‏: נבחר כברירת מחדל.
12. סוג אימות: בחר PEAP שישמש עם חיבור זה.

שלב 1 מתוך 2: משתמש PEAP

PEAP מסתמך על Transport Layer Security‏ (TLS) כדי לאפשר סוגי אימות לא מוצפנים, כגון EAP-Generic Token Card‏ (GTC) ותמיכת One-Time Password‏ (OTP‏).

1. פרוטוקול אימות: בחר GTC‏, MS-CHAP-V2 (ברירת מחדל) או TLS‏. ראה "פרוטוקולי אימות".
2. תעודות משתמש: עבור GTC או MS-CHAP-V2, בחר אחת מהאפשרויות הבאות: השתמש בכניסה ל- Windows, הצג הנחיה בכל פעם שאני מתחבר או השתמש בהבא. עבור TLS, בחר השתמש בכרטיס החכם שלי, השתמש בהרשאה שהונפקה למחשב זה או השתמש באישור משתמש במחשב זה. (בעת יצירת פרופיל מנהל, רק האפשרות השתמש בהרשאה שהונפקה למחשב זה תהיה זמינה).
3. זהות נדידה: בשדה זה ניתן להזין זהות נדידה או להשתמש ב- %domain%\%username% כתבנית ברירת המחדל להזנת זהות נדידה.

כאשר 802.1X Microsoft IAS RADIUS משמש כשרת אימות, השרת מאמת את ההתקן באמצעות זהות נדידה מתוכנת Intel PROSet/Wireless WiFi ומתעלם משם המשתמש של פרוטוקול אימות MS-CHAP-V2‏. Microsoft IAS RADIUS מקבל רק שם משתמש חוקי (משתמש dotNet) עבור זהות נדידה. עבור כל שאר שרתי האימות, זהות הנדידה אופציונלית. לכן, מומלץ להשתמש בתחום הרצוי (לדוגמה, anonymous@myrealm) עבור זהות הנדידה, במקום בזהות אמיתית.

הגדרת תצורה של זהות נדידה לתמיכה במשתמשים מרובים:

אם אתה משתמש ב פרופיל טרום כניסה/משותף המחייב לבסס את זהות הנדידה על תעודות הכניסה ל- Windows, יוצר הפרופיל יכול להוסיף זהות נדידה המשתמשת ב- %username% וב- %domain%. זהות הנדידה מנותחת ומידע הכניסה המתאים מוחלף עבור מילות המפתח. דבר זה מאפשר גמישות מרבית בהגדרת התצורה של זהות הנדידה, ולמשתמשים מרובים לשתף את הפרופיל.

לקבלת הוראות על אופן העיצוב של זהות נדידה מתאימה, עיין במדריך למשתמש של שרת האימות. להלן תבניות אפשרויות:

%domain%\%user_name%
%user_name%@%domain%
%user_name%@%domain%.com
%user_name%@mynetwork.com

אם זהות הנדידה ריקה, ברירת המחדל היא %domain%\%username%‏.

הערות אודות התעודות: על שם משתמש ותחום אלה להתאים לשם המשתמש המוגדר בשרת האימות על-ידי מנהל הרשת, לפני אימות לקוח. שם המשתמש הוא תלוי רישיות. השם מציין את הזהות שניתנה למאמת על-ידי פרוטוקול האימות הפועל דרך מנהרת TLS‏. זהות משתמש זו משודרת באופן מאובטח לשרת רק לאחר יצירה ואימות של ערוץ מוצפן.

פרוטוקולי אימות

פרמטר זה מציין את פרוטוקולי האימות שיכולים לפעול במנהרת TTLS‏. להלן הוראות להגדרת פרופיל המשתמש באימות PEAP עם פרוטוקולי אימות מסוג GTC‏, MS-CHAP-V2 (ברירת מחדל) או TLS‏.

Generic Token Card‏ (GTC)

להגדרת סיסמה חד-פעמית:

1. פרוטוקול אימות: בחר GTC‏ (Generic Token Card‏).
2. תעודות משתמש: בחר הצג הנחייה בכל פעם שאני מתחבר. (אפשרות זו זמינה רק בעת יצירת פרופיל אישי. היא אינה זמינה עבור פרופילי IT.)
3. בקש את זמן ההתחברות: בחר אחת מהאפשרויות הבאות:

שם	תיאור
סיסמה סטטית	עם ההתחברות, הזן את תעודות המשתמש.
סיסמה חד-פעמית (OTP)	קבל את הסיסמה מהתקן אסימון חומרה.
קוד אישי (אסימון תוכנה)	קבל את הסיסמה מתוכנית אסימון תוכנה.

הערה: האפשרות הצג הנחיה בכל פעם שאני מתחבר אינה זמינה אם מנהל רשת ניקה את ההגדרה העברת תעודות למטמון בכלי מנהל הרשת. לקבלת מידע נוסף, ראה הגדרות יישום מנהל רשת.

4. לחץ על אישור.
5. אם אתה פועל בתור המשתמש, בצע את שלושת השלבים הבאים.
6. בחר את הפרופיל מהרשימה רשתות WiFi‏.
7. לחץ על התחבר. כשתתבקש, הזן את שם המשתמש, התחום וה- OTP‏.
8. לחץ על אישור. תתבקש לאמת את מידע הכניסה.

MS-CHAP-V2‏: פרמטר זה מציין את פרוטוקול האימות הפועל במנהרת PEAP.

1. תעודות משתמש: בחר אחת מהאפשרויות הבאות: השתמש בכניסה ל- Windows, הצג הנחיה בכל פעם שאני מתחבר או השתמש בהבא.
2. לחץ על הבא כדי לפתוח את הגדרות שרת ה- PEAP‏.

TLS‏: אימות Transport Layer Security‏ (TLS) הוא שיטת אימות דו-סטרי המשתמשת באישורים דיגיטליים בלבד כדי לוודא את הזהות של לקוח ושל שרת.

1. קבל והתקן אישור לקוח. ראה "יצירת פרופיל Windows XP* עבור אימות TLS" או התייעץ עם מנהל המערכת.
2. כדי לקבל אישור, בחר אחת מהאפשרויות הבאות: השתמש בכרטיס החכם שלי, השתמש באישור שהונפק למחשב זה או השתמש באישור משתמש במחשב זה.
3. לחץ על הבא כדי לפתוח את הגדרות שרת ה- PEAP‏.

שלב 2 מתוך 2: שרת PEAP

1. בחר אחת משיטות אחזור התעודות הבאות: אמת הרשאת שרת או ציין שם שרת או שם הרשאה.
2. לחץ על אישור. הפרופיל מתווסף לרשימת הפרופילים.
3. לחץ על הפרופיל החדש שבסוף רשימת הפרופילים. השתמש בחצים למעלה ולמטה כדי לשנות את העדיפות של הפרופיל החדש.
4. לחץ על התחבר כדי להתחבר לרשת האלחוטית שנבחרה.

אם לא בחרת באפשרות השתמש בכניסה ל- Windows בדף הגדרות אבטחה וגם לא הגדרת תעודות משתמש, לא יישמרו תעודות עבור פרופיל זה. הזן את התעודות כדי לאמת לרשת.

5. לחץ על אישור כדי לסגור את Intel PROSet/Wireless WiFi‏.

הרשמה אוטומטית של אישור PEAP-TLS

בהגדרות יישום, בחר אפשור הודעה על דחיית הרשאות TLS, אם ברצונך להציג אזהרה בעת דחיית אישור PEAP-TLS‏‏. כאשר הערך בשדה תאריך פקיעה באישור אינו חוקי, מוצגת הודעה שעליך לנקוט באחת מהפעולות הבאות:

זוהתה בעיית אימות פוטנציאלית בפרופיל. ייתכן שתאריך הפקיעה של אישור הגישה המשויכת אינו חוקי. בחר אחת מהאפשרויות הבאות:

יצירת פרופיל Windows XP* עם אימות רשת LEAP

Cisco LEAP‏ (Light Extensible Authentication Protocol) הוא סוג של אימות 802.1X התומך באימות הדדי חזק בין הלקוח לבין שרת RADIUS‏. הגדרות פרופילי LEAP כוללות LEAP ו- CKIP עם שילוב של זיהוי נקודת גישה עוינת. כדי להגדיר לקוח עם אימות LEAP‏:

1. לחץ על פרופילים בחלון הראשי של תוכנית השירות לחיבור WiFi. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
2. ברשימה פרופילים, לחץ על הוספה. ההגדרות הכלליות של יצירת פרופיל WiFi נפתחות.
3. שם פרופיל: הזן שם פרופיל תיאורי.
4. שם רשת WiFi‏ (SSID‏): הזן את מזהה הרשת.
5. מצב הפעלה: לחץ על רשת (תשתית). (אם תשתמש בכלי מנהל הרשת, פרמטר זה יוגדר "תשתית").
6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
8. לחץ על אבטחה ארגונית.
9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני (מומלץ).
10. הצפנת נתונים: מומלץ AES-CCMP‏.
11. אפשור 802.1X‏: נבחר כברירת מחדל.
12. סוג אימות: בחר LEAP שישמש עם חיבור זה.
13. לחץ על אפשרויות Cisco‏.
14. לחץ על אפשור סיומות תואמות של Cisco כדי לאפשר אבטחת סיומות תואמות Cisco (CCX) (אפשור נדידה מהירה (CCKM), אפשור תמיכת ניהול רדיו ואפשור מצב תאים משולבים).



15. לחץ על אפשור תמיכת ניהול רדיו כדי לזהות נקודות גישה חריגות.
16. לחץ על אישור כדי לחזור להגדרות האבטחה.

משתמש LEAP‏:

1. בחר אחת משיטות האימות הבאות. אם תחת סוג פרופיל מנהל הרשת בחרת מתמיד (עם או בלי טרום-כניסה/משותף), אזי רק האפשרות השתמש בשם המשתמש והסיסמה הבאים תהיה זמינה. אם בחרת רק טרום כניסה/משותף, אזי שלוש שיטות האימות הבאות זמינות.
• השתמש בשם המשתמש והסיסמה של הכניסה ל- Windows
• בקשת שם משתמש וסיסמה
• השתמש בשם המשתמש והסיסמה הבאים
2. לחץ על אישור כדי לשמור את ההגדרה ולסגור את הדף.

יצירת פרופיל Windows XP* עם אימות רשת EAP-FAST

בסיומות תואמות של Cisco, גרסה 3 (CCXv3), חברת Cisco הוסיפה תמיכה ב- EAP-FAST‏ (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling), המשתמש בתעודות גישה מאובטחות (PAC) כדי ליצור מנהרה מאומתת בין לקוח ושרת.

סיומות תואמות של Cisco, גרסה 4 (CCXv4) משפרות את שיטות האספקה לשם קבלת אבטחה משופרת ומספקת חידושים לאבטחה, ניידות, איכות שירות וניהול רשת משופרים.

סיומות תואמות של Cisco, גרסה 3 (CCXv3)

כדי להגדיר לקוח עם אימות EAP-FAST עם סיומות תואמות של Cisco, גרסה 3 (CCXv3‏):

1. לחץ על פרופילים בחלון הראשי של תוכנית השירות לחיבור WiFi. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
2. ברשימה פרופילים, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל WiFi‏.
3. שם רשת WiFi‏ (SSID‏): הזן את מזהה הרשת.
4. שם פרופיל: הזן שם פרופיל תיאורי.
5. מצב הפעלה: לחץ על רשת (תשתית). (אם תשתמש בכלי מנהל הרשת, פרמטר זה יוגדר "תשתית").
6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
8. לחץ על אבטחה ארגונית.
9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני (מומלץ).
10. הצפנת נתונים: מומלץ AES-CCMP‏.
11. אפשור 802.1X‏: נבחר כברירת מחדל.
12. סוג אימות: בחר EAP-FAST שישמש עם חיבור זה.

שלב 1 מתוך 2: אספקת EAP-FAST

1. לחץ על נטרול שיפורי EAP-FAST‏ (CCXv4) כדי לאפשר אספקה בתוך מנהרת TLS שאינה מאומתת דרך שרת (מצב אספקת שרת TLS לא מאומת).
2. לחץ על בחירת שרת כדי להציג כל תעודת גישה מאובטחת שאינה מאומתת שכבר סופקה וששוכנת במחשב זה.

3. ייבוא של PAC‏:

1. לחץ על בחירת שרת כדי לפתוח את הרשימה תעודות גישה מאובטחות (PAC‏).
2. לחץ על יבא כדי לייבא PAC שכבר נמצא במחשב זה או בשרת.
3. בחר את ה- PAC ולחץ על פתיחה.
4. הזן את סיסמת ה- PAC (אופציונלי).
5. לחץ על אישור כדי לסגור דף זה. ה- PAC שנבחר מתווסף לרשימה PAC‏.
4. לחץ על הבא כדי לבחור את שיטת אחזור התעודות, או לחץ על אישור כדי לשמור את הגדרות ה- EAP-FAST ולחזור לרשימה פרופילים. ה- PAC משמש עבור פרופיל אלחוטי זה.

שלב 2 מתוך 2: מידע נוסף אודות EAP-FAST

כדי לבצע אימות לקוח במנהרה שנוצרה, לקוח שולח שם משתמש וסיסמה לשם אימות וקביעה של מדיניות אימות לקוח.

1. לחץ על תעודות משתמש כדי לבחור אחת משיטות אחזור התעודות הבאות: השתמש בכניסה ל- Windows, הצג הנחיה בכל פעם שאני מתחבר או השתמש בהבא.
2. לחץ על אישור כדי לשמור את ההגדרות ולסגור את הדף. אין צורך באימות שרת.
   

סיומות תואמות של Cisco, גרסה 4 (CCXv4)

כדי להגדיר לקוח עם אימות EAP-FAST עם סיומות תואמות של Cisco, גרסה 4 (CCXv4‏):

1. לחץ על פרופילים בחלון הראשי של תוכנית השירות לחיבור WiFi. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
2. ברשימה פרופילים, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל WiFi‏.
3. שם רשת WiFi‏ (SSID‏): הזן את מזהה הרשת.
4. שם פרופיל: הזן שם פרופיל תיאורי.
5. מצב הפעלה: לחץ על רשת (תשתית). (אם תשתמש בכלי מנהל הרשת, פרמטר זה יוגדר "תשתית").
6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
8. לחץ על אבטחה ארגונית.
9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני (מומלץ).
10. הצפנת נתונים: מומלץ AES-CCMP‏.
11. אפשור 802.1X‏: נבחר.
12. סוג אימות: בחר EAP-FAST שישמש עם חיבור זה.

שלב 1 מתוך 3: אספקת EAP-FAST

עם CCXv4‏, EAP-FAST תומך בשני מצבים לאספקה:

• מצב אימות באמצעות שרת: אספקה בתוך מנהרה עם אימות באמצעות שרת TLS‏.
• מצב ללא אימות באמצעות שרת: אספקה בתוך מנהרה ללא אימות TLS‏.

אספקה של תעודות גישה מאובטחות (PAC‏):

EAP-FAST משתמש במפתח PAC כדי להגן על תעודות המשתמש המוחלפות. כל מאמתי EAP-FAST מזוהים באמצעות זיהוי סמכות (A-ID‏). המאמת המקומי שולח את ה- A-ID שלו ללקוח מאמת, והלקוח בודק אם קיים A-ID תואם במסד הנתונים שלו. אם הלקוח אינו מזהה את ה- A-ID, הוא מבקש PAC חדש.

1. ודא שהאפשרות נטרל שיפורי EAP-FAST‏ (CCXv4) לא נבחרה. האפשרויות אפשור אספקה לא מאומתת ואפשור אספקה מאומתת נבחרות כברירת מחדל. לאחר בחירת PAC משרת ברירת המחדל, באפשרותך לבטל את הבחירה בכל אחת משיטות אספקה אלה.
2. שרת ברירת מחדל: לא נבחר נבחר כברירת מחדל. לחץ על בחירת שרת כדי לבחור PAC משרת אישורי ה- PAC המשמש כברירת מחדל, או בחר שרת מהרשימה קבוצת שרת. נפתח הדף לבחירת שרת ברירת המחדל של ה- EAP-FAST (סמכות PAC‏).

הערה: רשימות קבוצות שרתים מוצגות רק אם התקנת חבילת מנהל מערכת המכילה הגדרות של קבוצת זיהוי סמכות (A-ID) של EAP-FAST‏.

ניתן להשלים הפצת PAC גם באופן ידני (מחוץ לפס). אספקה ידנית מאפשרת ליצור PAC עבור משתמש בשרת ACS ולאחר מכן לייבא אותו למחשב המשתמש. ניתן להגן על קובץ PAC באמצעות סיסמה, אשר על המשתמש להזין במהלך ייבוא PAC‏.

3. ייבוא של PAC‏:
   1. לחץ על יבא כדי לייבא PAC משרת ה- PAC‏.
   2. לחץ על פתיחה.
   3. הזן את סיסמת ה- PAC (אופציונלי).
   4. לחיצה על אישור סוגרת דף זה. ה- PAC שנבחר משמש עבור פרופיל אלחוטי זה.

EAP-FAST CCXv4 מאפשר תמיכה עבור אספקה של תעודות אחרות, פרט ל- PAC המסופק ליצירת מנהרה. סוגי התעודות הנתמכים כוללים אישור CA מהימן, תעודת מחשב לאימות מחשב ותעודות משתמש זמניות המשמשות לעקיפת אימות משתמש.

השתמש באישור (אימות TLS)

1. לחץ על השתמש באישור (אימות TLS)
2. לחץ על הגנת זהות, כאשר המנהרה מוגנת.
3. כדי לקבל אישור, בחר אחת מהאפשרויות הבאות: השתמש בכרטיס החכם שלי, השתמש בהרשאה שהונפקה למחשב זה או השתמש בהרשאת משתמש במחשב זה.
4. שם משתמש: הזן את שם המשתמש שהוקצה לאישור המשתמש.
5. לחץ על הבא.

שלב 2 מתוך 3: מידע נוסף אודות EAP-FAST

אם בחרת באפשרויות השתמש באישור (אימות TLS) והשתמש בהרשאת משתמש במחשב זה, לחץ על הבא (לא נדרשת זהות נדידה) והמשך לשלב 3 כדי לקבוע את תצורת ההגדרות של אישור שרת EAP-FAST‏. אם אינך צריך לקבוע את תצורת ההגדרות של שרת EAP-FAST, לחץ על אישור כדי לשמור את ההגדרות ולחזור לדף פרופילים.

אם בחרת באפשרות השתמש בכרטיס החכם שלי, הוסף את זהות הנדידה, אם נדרש. לחץ על אישור כדי לשמור את ההגדרות ולחזור לדף פרופילים.

אם לא בחרת באפשרות השתמש באישור (אימות TLS), לחץ על הבא כדי לבחור פרוטוקול אימות. CCXv4 מתיר תעודות נוספות או חבילות צופן TLS להקמת המנהרה.

פרוטוקול אימות: בחר GTC או MS-CHAP-V2 (ברירת מחדל).

Generic Token Card‏ (GTC)

ניתן להשתמש ב- GTC במצב אימות באמצעות שרת. מצב זה מאפשר לעמיתים המשתמשים במסדי משתמשים אחרים, כגון Lightweight Directory Access Protocol‏ (LDAP) וטכנולוגיית סיסמה חד-פעמית (OTP), לקבל אספקה בפס. עם זאת, ההחלפה תושג רק בעת שימוש עם חבילות הצפנת TLS, המבטיחות אימות שרת.

להגדרת סיסמה חד-פעמית:

1. פרוטוקול אימות: בחר GTC‏ (Generic Token Card‏).
2. תעודות משתמש: בחר הצג הנחייה בכל פעם שאני מתחבר.
3. בקש את זמן ההתחברות: בחר אחת מהאפשרויות הבאות:

שם	תיאור
סיסמה סטטית	עם ההתחברות, הזן את תעודות המשתמש.
סיסמה חד-פעמית (OTP)	קבל את הסיסמה מהתקן אסימון חומרה.
קוד אישי (אסימון תוכנה)	קבל את הסיסמה מתוכנית אסימון תוכנה.

4. לחץ על אישור.
5. בחר את הפרופיל מהרשימה רשתות WiFi‏.
6. לחץ על התחבר. כשתתבקש, הזן את שם המשתמש, התחום והסיסמה החד-פעמית (OTP‏).
7. לחץ על אישור.

MS-CHAP-V2‏. פרמטר זה מציין את פרוטוקול האימות הפועל במנהרת PEAP.

1. פרוטוקול אימות: בחר MS-CHAP-V2‏‏.
2. בחר את תעודות המשתמש: השתמש בכניסה ל- Windows, הצג הנחיה בכל פעם שאני מתחבר או השתמש בהבא.
3. זהות נדידה: בשדה זה ניתן להזין זהות נדידה או להשתמש ב- %domain%\%username% כתבנית ברירת המחדל להזנת זהות נדידה.

כאשר 802.1X Microsoft IAS RADIUS משמש כשרת אימות, השרת מאמת את ההתקן באמצעות זהות נדידה מתוכנת Intel PROSet/Wireless WiFi ומתעלם משם המשתמש של פרוטוקול אימות MS-CHAP-V2‏. Microsoft IAS RADIUS מקבל רק שם משתמש חוקי (משתמש dotNet) עבור זהות נדידה. עבור כל שאר שרתי האימות, זהות הנדידה אופציונלית. לכן, מומלץ להשתמש בתחום הרצוי (לדוגמה, anonymous@myrealm) עבור זהות הנדידה, במקום בזהות אמיתית.

שלב 3 מתוך 3: שרת EAP-FAST

מצב אספקת שרת TLS מאומת נתמך באמצעות אישור CA מהימן, אישור שרת עם חתימה עצמית או מפתחות ציבוריים של שרת ו- GTC כשיטת ה- EAP הפנימית.

1. בחר אחת משיטות אחזור התעודות הבאות: אמת הרשאת שרת או ציין שם שרת או שם הרשאה.
2. לחץ על אישור כדי לסגור את הגדרות האבטחה.

הגדרות משתמש EAP-FAST

כדי להגדיר לקוח עם אימות EAP-FAST‏:

1. לחץ על פרופילים בחלון הראשי של תוכנית השירות לחיבור WiFi. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
2. בדף פרופיל, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל WiFi‏.
3. שם רשת WiFi‏ (SSID‏): הזן את מזהה הרשת.
4. שם פרופיל: הזן שם פרופיל תיאורי.
5. מצב הפעלה: לחץ על רשת (תשתית). (אם תשתמש בכלי מנהל הרשת, פרמטר זה יוגדר "תשתית").
6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
8. לחץ על אבטחה ארגונית.
9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני.
10. הצפנת נתונים: בחר אחת מהאפשרויות הבאות:
    • TKIP מספק ערבול מפתח לכל-מנה, בדיקת תקינות הודעה ומנגנון החלפת מפתחות.
    • AES-CCMP‏ (Advanced Encryption Standard - Counter CBC-MAC Protocol) משמש כשיטת הצפנת הנתונים כאשר יש צורך בהגנה חזקה על הנתונים. מומלץ AES-CCMP‏.
11. אפשור 802.1X‏: נבחר.
12. סוג אימות: בחר EAP-FAST שישמש עם חיבור זה.
13. לחץ על אפשרויות Cisco כדי לבחור אפשור נדידה מהירה (CCKM) אשר מאפשר למתאם ה- WiFi של הלקוח נדידה מאובטחת ומהירה.

שלב 1 מתוך 3: אספקת EAP-FAST (הגדרות משתמש)

EAP-FAST משתמש במפתח PAC כדי להגן על תעודות המשתמש המוחלפות. כל מאמתי EAP-FAST מזוהים באמצעות זיהוי סמכות (A-ID‏). המאמת המקומי שולח את ה- A-ID שלו ללקוח מאמת, והלקוח בודק אם קיים A-ID תואם במסד הנתונים שלו. אם הלקוח אינו מזהה את ה- A-ID, הוא מבקש PAC חדש.

1. השאר את האפשרות נטרל שיפורי EAP-FAST‏ (CCXv4) לא מסומנת.
2. שתי האפשרויות אפשור אספקה מאומתת ואפשור אספקה לא מאומתת מסומנות.
3. שרת ברירת מחדל: האפשרות ללא נבחרת כברירת מחדל. לחץ על בחירת שרת כדי לבחור PAC משרת אישורי ה- PAC המשמש כברירת מחדל. נפתח הדף לבחירת תעודות גישה מאובטחות.

הערה: רשימות קבוצות שרתים מוצגות רק אם התקנת חבילת מנהל מערכת המכילה הגדרות של קבוצת זיהוי סמכות (A-ID) של EAP-FAST‏.

ניתן להשלים הפצת PAC גם באופן ידני (מחוץ לפס). אספקה ידנית מאפשרת ליצור PAC עבור משתמש בשרת ACS ולאחר מכן לייבא אותו למחשב המשתמש. ניתן להגן על קובץ PAC באמצעות סיסמה, אשר על המשתמש להזין במהלך ייבוא PAC‏.

4. ייבוא של PAC‏:
1. לחץ על יבא כדי לייבא PAC משרת ה- PAC‏.
2. לחץ על פתיחה.
3. הזן את סיסמת ה- PAC (אופציונלי).
4. לחץ על אישור כדי לסגור דף זה. ה- PAC שנבחר משמש עבור פרופיל אלחוטי זה.
5. לחץ על הבא.
6. אם אין זה פרופיל טרום-כניסה/משותף, לחץ על הבא ודלג לשלב 3 מתוך 3: שרת EAP-FAST‏.
7. אם זהו פרופיל טרום-כניסה/משותף, או אם אינך משתמש בכלי מנהל הרשת ליצירת פרופיל זה, המשך לשלב הבא.

שלב 2 מתוך 3: מידע נוסף אודות EAP-FAST

1. פרוטוקול אימות: בחר MS-CHAP-V2 או GTC
2. תעודות משתמש: בחר השתמש בכניסה של Windows או השתמש בהבא.
3. אם בחרת באפשרות השתמש בהבא, הזן את שם המשתמש, התחום, הסיסמה ואשר את הסיסמה.
4. הזן את זהות הנדידה: %DOMAIN%\%USERNAME
5. לחץ על הבא.

שלב 3 מתוך 3: שרת EAP-FAST

1. אם תרצה, לחץ על אמת הרשאת שרת ובחר במנפיק ההרשאה מהתפריט הנפתח. אפשרות ברירת המחדל היא כל CA אמין.
2. אם תרצה, לחץ על ציין שם שרת או שם הרשאה והזן את השם. לאחר מכן, לחץ על שם השרת צריך להתאים בדיוק לערך שצוין או על על שם התחום להסתיים בערך המצוין.
3. לחץ על אישור.