Takaisin Sisällys-sivulle

Windows*-profiilien luominen

Tässä jaksossa kuvataan, kuinka luot Windows* XP-, Windows Vista*- ja Windows* 7 -profiileja.

Perusrakenneverkko käsittää vähintään yhden tukiaseman ja vähintään yhden WiFi-sovittimella varustetun tietokoneen. Jokaisen tukiaseman pitää olla kytketty kaapelilla WiFi-verkkoon. Tässä kohdassa kuvataan eri WiFi-profiilien käyttäminen.

HUOMAUTUS: Monia rajoituksia liittyy yhden sisäänkirjautumisen proofiiliin, jotka luodaan Windows Vista*- ja Windows* 7 -asiakkaille. Katso Näkökohtia yhdestä sisäänkirjautumisesta Windows Vistassa* ja Windows* 7:ssä.

Profiilin luominen, kun käytössä ei ole laillisuustarkistusta eikä tiedon salausta (Ei mitään)

VAROITUS: Valtuuttamattomat käyttäjät pääsevät helposti verkkoihin, jotka eivät käytä laillisuustarkastusta tai salausta.

Profiilin luominen WiFi-verkkoyhteydelle käyttämättä salausta:

  1. Valitse Profiilit... Intel® PROSet/Wireless WiFi -yhteysapuohjelman pääikkunassa. Tai jos toimit järjestelmänvalvojana, avaa Hallinta-apuohjelma.
  2. Avaa Luo WiFi-profiili -toiminnon Yleisasetukset-ikkuna valitsemalla Profiilit-luettelossa/välilehdellä Lisää.
  3. Profiilinimi: Anna profiilille kuvaava nimi.
  4. WiFi-verkon nimi (SSID): Anna verkon tunniste.
  5. Toimintatila: Valitse Verkko (perusrakenne). (Tämän parametrin arvoksi asetetaan Perusrakenne, jos käytät Hallinta-apuohjelmaa.)
  6. Hallintaprofiilityyppi: Valitse Pysyvä tai Yhteys ennen sisäänkirjautumista / Yhteinen. (Tätä vaihetta sovelletaan vain jos käytät Hallinta-apuohjelmaa.)
  7. Avaa Suojausasetukset valitsemalla Seuraava.
  8. Valitse Enterprise-suojaus.
  9. Verkkotodennus: Avoin (valittuna).

Avoin laillisuustarkistus sallii langattoman laitteen käyttää verkkoa ilman 802.11-laillisuustarkistusta. Jos verkossa ei ole otettu salausta käyttöön, mikä tahansa oikean verkkonimien (SSID:n) omaava langaton laite voi liittyä tukiasemaan ja saada oikeuden käyttää verkkoa

  1. Tiedon salaus: Oletusasetus on Ei mitään.
  2. Valitse OK. Profiili lisätään profiililuetteloon ja muodostetaan yhteys langattomaan verkkoon.

Jaettua laillisuustarkistusta käyttävän profiilin luominen

Käytettäessä Jaettu avain -laillisuustarkistusta kunkin langattoman aseman oletetaan vastaanottaneen salatun jaetun avaimen suojatun kanavan kautta, joka on riippumaton langattomasta 802.11-verkon tietoliikennekanavasta. Jaettu avain -laillisuustarkistus edellyttää, että asiakas määrittää kiinteän WEP- tai CKIP-avaimen. Asiakaskäyttö sallitaan vain, jos tarkistukseen perustuva laillisuustarkistus läpäistään. CKIP antaa käyttöön tehokkaamman salauksen kuin WEP, mutta kaikki käyttöjärjestelmät ja tukiasemat eivät tue sen käyttämistä.

HUOMAUTUS: Vaikka Jaettu avain -menetelmä vaikuttaakin tehokkaammalta suojausmenetelmä, se tunnettu heikkous on selväkielisen tekstin käyttäminen asiakkaaseen lähetettävässä haastemerkkijonossa. Jos joku käyttää ohjelmistotyökalua havaitsemaan haastemerkkijonon, jaettu laillisuustarkistusavain on helppo purkaa. Näin ollen Avoin-laillisuustarkistus (käyttämällä tiedon salausta) onkin itse asiassa turvallisempi.

Jaettua laillisuustarkistusta käyttävän profiilin luominen:

  1. Valitse Profiilit... WiFi-yhteysapuohjelman pääikkunassa. Tai jos toimit järjestelmänvalvojana, avaa Hallinta-apuohjelma.
  2. Avaa Luo WiFi-profiili -toiminnon Yleisasetukset-ikkuna valitsemalla Profiilit-luettelossa/välilehdellä Lisää.
  3. Profiilinimi: Anna profiilille kuvaava nimi.
  4. WiFi-verkon nimi (SSID): Anna verkon tunniste.
  5. Toimintatila: Valitse Verkko (perusrakenne). (Tämän parametrin arvoksi asetetaan Perusrakenne, jos käytät Hallinta-apuohjelmaa.)
  6. Hallintaprofiilityyppi: Valitse Pysyvä tai Yhteys ennen sisäänkirjautumista / Yhteinen. (Tätä vaihetta sovelletaan vain jos käytät Hallinta-apuohjelmaa.)
  7. Avaa Suojausasetukset valitsemalla Seuraava.
  8. Valitse Enterprise-suojaus.
  9. Verkkotodennus: Valitse Jaettu. Käytössä on jaettu laillisuustarkistus ennalta määritettyä WEP-avainta käyttämällä.
  10. Tiedon salaus: Valitse Ei mitään, WEP (64-bittinen tai 128-bittinen) tai CKIP (64-bittinen tai 128-bittinen).
  11. Ota käyttöön 802.1X: Poissa käytöstä.
  12. Salaustaso: 64-bittinen tai 128-bittinen: Vaihdettaessa käyttöön 64-bittinen tai 128-bittinen salaus, edelliset asetukset poistetaan ja on annettava uusi avain.
  13. Avainindeksi: Valitse 1, 2, 3 tai 4. Määritä enintään neljä salasanaa muuttamalla avainindeksiä.
  14. Langattoman suojauksen salasana (salausavain): Anna langattoman käytön salasana (salausavain). Langaton tukiasema tai reititin käyttää samaa salasanaa. Kysy tämä salasana järjestelmänvalvojalta.

Profiilin luominen, kun käytössä on verkon WPA-Personal- tai WPA2-Personal-laillisuustarkistus

Wi-Fi Protected Access (WPA) on suojauslaajennus, joka vahvistaa huomattavasti langattoman verkon tietojen suojausta ja käytönhallintaa. WPA-Personal edistää avainvaihtoa ja se toimii ainoastaan dynaamisten salausavainten kanssa. Jos langaton tukiasema tai reititin tukee WPA-Personal- ja WPA2-Personal-suojausta, ota se käyttöön tukiasemassa ja määritä pitkä ja tehokas salasana. Henkilökohtaisessa verkossa ja kotiverkossa, joissa ei ole RADIUS- tai AAA-palvelinta, on suositeltavaa käyttää WPA-Personal (Wi-Fi Protected Access Personal) -suojausta.

HUOMAUTUS: WPA-Personal ja WPA2-Personal toimivat yhdessä.

Tietokoneen käyttöjärjestelmä ei ehkä tue joitakin suojausratkaisuja ja tietokoneeseen voi olla tarpeen asentaa lisäohjelmistoa ja/tai erityislaitteistoa sekä tuki langattoman lähiverkon perusrakennetta varten. Yksityiskohtaisia lisätietoja saat tietokoneen valmistajalta.

WPA-Personal- tai WPA2-Personal-laillisuustarkistusta käyttävän profiilin lisääminen:

  1. Valitse Profiilit... WiFi-yhteysapuohjelman pääikkunassa. Tai jos toimit järjestelmänvalvojana, avaa Hallinta-apuohjelma.
  2. Avaa Luo WiFi-profiili -toiminnon Yleisasetukset-ikkuna valitsemalla Profiilit-luettelossa/välilehdellä Lisää.
  3. Profiilinimi: Anna profiilille kuvaava nimi.
  4. WiFi-verkon nimi (SSID): Anna verkon tunniste.
  5. Toimintatila: Valitse Verkko (perusrakenne). (Tämän parametrin arvoksi asetetaan Perusrakenne, jos käytät Hallinta-apuohjelmaa.)
  6. Hallintaprofiilityyppi: Valitse Pysyvä tai Yhteys ennen sisäänkirjautumista / Yhteinen. (Tätä vaihetta sovelletaan vain jos käytät Hallinta-apuohjelmaa.)
  7. Avaa Suojausasetukset valitsemalla Seuraava.
  8. Valitse Enterprise-suojaus.
  9. Verkkotodennus: Valitse WPA-Personal tai WPA2-Personal. Lisätietoja on kohdassa Yleistietoja suojauksesta
  10. Tiedon salaus: Valitse TKIP tai AES-CCMP.
  11. Salasana: Anna tekstilause, jossa on 8–63 merkkiä. Pitkä salasana antaa vahvemman verkkosuojauksen kuin lyhyt salasana. Tukiasemaan määritettyä salasanaa pitää käyttää tässä tietokoneessa ja langattoman verkon kaikissa muissa langattomissa laitteissa.

Profiilin luominen, kun käytössä on verkon WPA-Enterprise- tai WPA2-Enterprise-laillisuustarkistus

WPA2-Enterprise-tila edellyttää laillisuustarkistuspalvelinta.

HUOMAUTUS: WPA-Enterprise ja WPA2-Enterprise toimivat yhdessä.

WPA-Enterprise- tai WPA2-Enterprise-laillisuustarkistusta käyttävän profiilin lisääminen:

  1. Hanki järjestelmänvalvojalta käyttäjänimi ja salasana RADIUS-palvelimeen.
  2. Toiset laillisuustarkistustyypit edellyttävät asiakassertifikaatin hankkimista ja asentamista. Saat lisätietoja järjestelmänvalvojalta tai kohdasta Profiilin luominen, kun käytössä on TLS-laillisuustarkistus.
  3. Valitse Profiilit... WiFi-yhteysapuohjelman pääikkunassa. Tai jos toimit järjestelmänvalvojana, avaa Hallinta-apuohjelma.
  4. Avaa Luo WiFi-profiili -toiminnon Yleisasetukset-ikkuna valitsemalla profiililuettelossa Lisää.
  5. Profiilinimi: Anna profiilille kuvaava nimi.
  6. WiFi-verkon nimi (SSID): Anna verkon tunniste.
  7. Toimintatila: Valitse Verkko (perusrakenne). (Tämän parametrin arvoksi asetetaan Perusrakenne, jos käytät Hallinta-apuohjelmaa.)
  8. Hallintaprofiilityyppi: Valitse Pysyvä tai Yhteys ennen sisäänkirjautumista / Yhteinen. (Tätä vaihetta sovelletaan vain jos käytät Hallinta-apuohjelmaa.)
  9. Avaa Suojausasetukset valitsemalla Seuraava.
  10. Valitse Enterprise-suojaus.
  11. Verkkotodennus: Valitse WPA-Enterprise tai WPA2-Enterprise.
  12. Tiedon salaus: Valitse TKIP tai AES-CCMP.
  13. Ota käyttöön 802.1X: Tämä on oletusarvon mukaan valittuna.
  14. Laillisuustarkistuksen tyyppi: Valitse jokin seuraavista vaihtoehdoista: EAP-SIM, LEAP, TLS, TTLS, PEAP tai EAP-FAST.

Verkkoprofiilin määrittäminen käyttämään 802.1X-laillisuustarkistustyyppejä

Profiilin luominen, kun käytössä on WEP-salaus ja verkon EAP-SIM-laillisuustarkistus

EAP-SIM-laillisuustarkistuksessa käytetään tiedon salaamisessa istuntopohjaista WEP-avainta, joka saadaan asiakassovittimesta ja RADIUS-palvelimesta. EAP-SIM vaatii käyttäjää antamaan käyttäjävarmenteen eli PIN-tunnuksen viestimiseen SIM (Subscriber Identity Module) -kortin kanssa. SIM-kortti on erityinen älykortti, jota käytetään GSM-pohjaisissa digitaalisissa solukkoverkoissa.

Profiilin kartoitus

Tämä profiili viedään eri tavalla asiakkaille, jotka käyttävät Windows* XP:tä verrattuna asiakkaisiin, jotka käyttävät Windows Vistaa* ja Windows* 7:ää. Katso lisätietoja kohdasta EAP-SIM-profiilin kartoitus.

EAP-SIM-laillisuustarkistusta käyttävän profiilin lisääminen:

  1. Valitse Profiilit... WiFi-yhteysapuohjelman pääikkunassa. Tai jos toimit järjestelmänvalvojana, avaa Hallinta-apuohjelma.
  2. Avaa Luo WiFi-profiili -toiminnon Yleisasetukset-ikkuna valitsemalla profiililuettelossa Lisää.
  3. Profiilinimi: Anna profiilin nimi.
  4. WiFi-verkon nimi (SSID): Anna verkon tunniste.
  5. Toimintatila: Valitse Verkko (perusrakenne). (Tämän parametrin arvoksi asetetaan Perusrakenne, jos käytät Hallinta-apuohjelmaa.)
  6. Hallintaprofiilityyppi: Valitse Pysyvä tai Yhteys ennen sisäänkirjautumista / Yhteinen. (Tätä vaihetta sovelletaan vain jos käytät Hallinta-apuohjelmaa.)
  7. Avaa Suojausasetukset valitsemalla Seuraava.
  8. Valitse Enterprise-suojaus.
  9. Verkkotodennus: Valitse Avoin (suositellaan).
  10. Tiedon salaus: Valitse WEP.
  11. Valitse Ota 802.1X käyttöön.
  12. Laillisuustarkistuksen tyyppi: Valitse EAP-SIM.

EAP-SIM-laillisuustarkistusta voidaan käyttää seuraavien menetelmien kanssa:

EAP-SIM-käyttäjä (valinnainen)

  1. Valitse Määritä käyttäjänimi (identiteetti):
  2. Kohdassa Käyttäjänimi: Anna SIM-korttiin liitetty käyttäjänimi.
  3. Valitse OK.

Windows* XP -profiilin luominen, kun käytössä on verkon EAP-AKA-laillisuustarkistus

EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) on laillisuustarkistuksen ja istunnon avaimen jakamisen EAP-mekanismi, jossa käytetään the Universal Mobile Telecommunications System (UMTS) -järjestelmän Subscriber Identity Module (USIM) -korttia. USIM-kortti on matkapuhelinverkoissa käytettävä erikoisälykortti, jota käytetään tietyn käyttäjän varmentamiseen verkossa.

EAP-AKA-laillisuustarkistusta voidaan käyttää seuraavien menetelmien kanssa:

Profiilin kartoitus

Tämä profiili viedään eri tavalla asiakkaille, jotka käyttävät Windows* XP:tä verrattuna asiakkaisiin, jotka käyttävät Windows Vistaa* ja Windows* 7:ää. Katso lisätietoja kohdasta EAP-AKA-profiilin kartoitus.

EAP-AKA-laillisuustarkistusta käyttävän profiilin lisääminen:

  1. Valitse Profiilit... WiFi-yhteysapuohjelman pääikkunassa. Tai jos toimit järjestelmänvalvojana, avaa Hallinta-apuohjelma.
  2. Avaa Luo WiFi-profiili -toiminnon Yleisasetukset-ikkuna valitsemalla profiililuettelossa Lisää.
  3. Profiilinimi: Anna profiilin nimi.
  4. WiFi-verkon nimi (SSID): Anna verkon tunniste.
  5. Toimintatila: Valitse Verkko (perusrakenne). (Tämän parametrin arvoksi asetetaan Perusrakenne, jos käytät Hallinta-apuohjelmaa.)
  6. Hallintaprofiilityyppi: Valitse Pysyvä tai Yhteys ennen sisäänkirjautumista / Yhteinen. (Tätä vaihetta sovelletaan vain jos käytät Hallinta-apuohjelmaa.)
  7. Avaa Suojausasetukset valitsemalla Seuraava.
  8. Valitse Enterprise-suojaus.
  9. Verkkotodennus: Valitse Avoin, WPA-Enterprise tai WPA2-Enterprise.
  10. Tiedon salaus: Valitse WEP tai CKIP Avoin-laillisuustarkistusta varten ja TKIP tai AES-CCMP Enterprise-laillisuustarkistusta varten.
  11. Valitse Ota käyttöön 802.1X, jos se ei vielä ole valittuna.
  12. Laillisuustarkistuksen tyyppi: Valitse EAP-AKA.

EAP-AKA-käyttäjä (valinnainen)

  1. Valitse Määritä käyttäjänimi (identiteetti):
  2. Kohdassa Käyttäjänimi: Anna USIM-korttiin liitetty käyttäjänimi.
  3. Valitse OK.

Verkon TLS-laillisuustarkistusta käyttävän profiilin luominen

Nämä asetukset määrittävät käyttäjän varmentamisessa käytettävät käyttäjätiedot. TLS (Transport Layer Security) -laillisuustarkistus on kaksisuuntainen laillisuustarkistusmenetelmä, joka käyttää yksinomaan digitaalisia sertifikaatteja asiakkaan ja palvelimen varmentamiseksi.

Profiilin kartoitus

Tämä profiili viedään eri tavalla asiakkaille, jotka käyttävät Windows* XP:tä verrattuna asiakkaisiin, jotka käyttävät Windows Vistaa* ja Windows* 7:ää. Katso lisätietoja kohdasta TLS-profiilin kartoitus.

TLS-laillisuustarkistusta käyttävän profiilin luominen

  1. Valitse Profiilit... WiFi-yhteysapuohjelman pääikkunassa. Tai jos toimit järjestelmänvalvojana, avaa Hallinta-apuohjelma.
  2. Avaa Luo WiFi-profiili -toiminnon Yleisasetukset-ikkuna valitsemalla profiililuettelossa Lisää.
  3. Profiilinimi: Anna profiilille kuvaava nimi.
  4. WiFi-verkon nimi (SSID): Anna verkon tunniste.
  5. Toimintatila: Valitse Verkko (perusrakenne). (Tämän parametrin arvoksi asetetaan Perusrakenne, jos käytät Hallinta-apuohjelmaa.)
  6. Hallintaprofiilityyppi: Valitse Pysyvä tai Yhteys ennen sisäänkirjautumista / Yhteinen. (Tätä vaihetta sovelletaan vain jos käytät Hallinta-apuohjelmaa.)
  7. Avaa Suojausasetukset valitsemalla Seuraava.
  8. Valitse Enterprise-suojaus.
  9. Verkkotodennus: Valitse WPA-Enterprise tai WPA2-Enterprise (Suositus).
  10. Tiedon salaus: Valitse AES-CCMP (suositellaan).
  11. Ota käyttöön 802.1X: Tämä on oletusarvon mukaan valittuna.
  12. Laillisuustarkistuksen tyyppi: Valitse TLS käytettäväksi tässä yhteydessä.

Vaihe 1/2: TLS-käyttäjä

  1. Hanki asiakassertifikaatti ja asenna se. Saat lisätietoja järjestelmänvalvojalta tai kohdasta Profiilin luominen, kun käytössä on TLS-laillisuustarkistus.
  2. Hanki sertifikaatti valitsemalla jokin seuraavista: Käytä älykorttia, Käytä tälle tietokoneelle myönnettyä sertifikaattia tai Käytä tässä tietokoneessa olevaa käyttäjäsertifikaattia.
  3. Avaa TLS-palvelin-asetukset valitsemalla Seuraava.

Vaihe 2/2: TLS-palvelin

  1. Valitse jokin seuraavista käyttäjätietojen hakumenetelmistä: Varmenna palvelinsertifikaatti tai Määritä palvelimen tai sertifikaatin nimi.
  2. Valitse OK. Profiili lisätään profiililuetteloon.
  3. Valitse uusi profiili profiililuettelon lopusta. Sijoita ylä- ja alanuolen avulla uusi profiili sen prioriteettia vastaavaan kohtaan.
  4. Muodosta yhteys valittuun langattomaan verkkoon valitsemalla Yhdistä.
  5. Sulje apuohjelma valitsemalla OK.

Verkon TTLS-laillisuustarkistusta käyttävän profiilin luominen

TTLS-laillisuustarkistus: Nämä asetukset määrittävät käyttäjän varmentamisessa käytettävät käyttäjätiedot. Asiakas käyttää EAP-TLS-menetelmää palvelimen laillisuuden tarkistamiseksi ja TLS-salatun kanavan luomiseksi asiakkaan ja palvelimen välille. Asiakkaassa voidaan käyttää muuta laillisuustarkistusyhteyskäytäntöä. Tyypillisesti salasanaan perustuvat yhteyskäytännöt ohittavat näkymättömän TLS-salatun kanavan.

Profiilin kartoitus

Tämä profiili viedään eri tavalla asiakkaille, jotka käyttävät Windows* XP:tä verrattuna asiakkaisiin, jotka käyttävät Windows Vistaa* ja Windows* 7:ää. Katso lisätietoja kohdasta TTLS-profiilin kartoitus.

TTLS-laillisuustarkistusta käyttävän profiilin luominen

  1. Valitse Profiilit... WiFi-yhteysapuohjelman pääikkunassa. Tai jos toimit järjestelmänvalvojana, avaa Hallinta-apuohjelma.
  2. Avaa Luo WiFi-profiili -toiminnon Yleisasetukset-ikkuna valitsemalla profiililuettelossa Lisää.
  3. Profiilinimi: Anna profiilille kuvaava nimi.
  4. WiFi-verkon nimi (SSID): Anna verkon tunniste.
  5. Toimintatila: Valitse Verkko (perusrakenne). (Tämän parametrin arvoksi asetetaan Perusrakenne, jos käytät Hallinta-apuohjelmaa.)
  6. Hallintaprofiilityyppi: Valitse Pysyvä tai Yhteys ennen sisäänkirjautumista / Yhteinen. (Tätä vaihetta sovelletaan vain jos käytät Hallinta-apuohjelmaa.
  7. Avaa Suojausasetukset valitsemalla Seuraava.
  8. Valitse Enterprise-suojaus.
  9. Verkkotodennus: Valitse WPA-Enterprise tai WPA2-Enterprise (Suositus).
  10. Tiedon salaus: Valitse TKIP tai AES-CCMP (suositellaan).
  11. Ota käyttöön 802.1X: Tämä on oletusarvon mukaan valittuna.
  12. Laillisuustarkistuksen tyyppi: Valitse TTLS käytettäväksi tässä yhteydessä.

Vaihe 1/2: TTLS -käyttäjä

  1. Laillisuustarkistuksen yhteyskäytäntö: Tämä parametri määrittää TTLS-tunnelin kautta käytettävän laillisuustarkistuksen yhteyskäytännön. Käytettävissä olevat yhteyskäytännöt: PAP (oletus), CHAP, MS-CHAP ja MS-CHAP-V2. Lisätietoja on kohdassa Yleistietoja suojauksesta.
  2. Käyttäjätiedot: Valitse jokin seuraavista laillisuustarkistusmenetelmistä käytettäessä PAP-, CHAP-, MS-CHAP- ja MS-CHAP-V2-yhteyskäytäntöjä: Käytä Windowsin sisäänkirjautumista, Kysy aina yhteyttä muodostettaessa tai Käytä seuraavaa.
  3. Solukonpäivitystiedot: Solukonpäivitystiedot voidaan täyttää tähän kenttään, tai voit käyttää muotoa %toimialue%\%käyttäjänimi% solukonpäivitystietojen syöttämisen oletusmuotona.

Kun laillisuustarkistuspalvelimena on 802.1X Microsoft IAS RADIUS, palvelin tarkistaa laitteen laillisuuden käyttämällä Intel® PROSet/Wireless WiFi -ohjelmiston Solukonpäivitystietoja ja jättää huomiotta Laillisuustarkistuksen yhteyskäytännön MS-CHAP-V2 -käyttäjänimen. Microsoft IAS RADIUS hyväksyy vain kelvollisen käyttäjänimen (dotNet user) Solukonpäivitystiedoille. Kaikki laillisuudentarkistuspalvelimet kohtelevat solukonpäivitystietoja valinnaisina. Näin ollen on suositeltavaa, että todellisten tietojen asemesta käytetään solukonpäivitystietojen haluttua aluenimeä (esimerkiksi nimeton@omatoimialue) todellisten tietojen asemesta.

  1. Avaa TTLS-palvelinasetukset valitsemalla Seuraava.

Vaihe 2/2: TTLS-palvelin

  1. Valitse jokin seuraavista käyttäjätietojen hakumenetelmistä: Varmenna palvelinsertifikaatti tai Määritä palvelimen tai sertifikaatin nimi.
  2. Tallenna asetukset ja sulje sivu valitsemalla OK.

Verkon PEAP-laillisuustarkistusta käyttävän profiilin luominen

PEAP-laillisuustarkistus: Asiakkaan laillisuustarkistus laillisuustarkistuspalvelimessa edellyttää PEAP-asetuksia. Asiakas käyttää EAP-TLS-menetelmää palvelimen laillisuuden tarkistamiseksi ja TLS-salatun kanavan luomiseksi asiakkaan ja palvelimen välille. Asiakas voi käyttää muuta EAP-mekanismia, kuten Microsoft Challenge Authentication Protocol (MS-CHAP) Version 2 -mekanismia, tämän salatun kanavan kautta palvelimen laillisuustarkistuksen ottamiseksi käyttöön. Haaste- ja vastauspaketit lähetetään ei-julkisen TLS-salatun kanavan kautta. Seuraavassa esimerkissä kuvataan WPA:n käyttäminen yhdessä AES-CCMP- tai TKIP-salauksen ja PEAP-laillisuustarkistuksen yhteydessä.

Profiilin kartoitus

Tämä profiili viedään eri tavalla asiakkaille, jotka käyttävät Windows* XP:tä verrattuna asiakkaisiin, jotka käyttävät Windows Vistaa* ja Windows* 7:ää. Katso lisätietoja kohdasta PEAP-profiilin kartoitus.

PEAP-laillisuustarkistusta käyttävän profiilin luominen

Hanki asiakassertifikaatti ja asenna se. Saat lisätietoja järjestelmänvalvojalta tai kohdasta Windows* XP -profiilin luominen, kun käytössä on TLS-laillisuustarkistus.

  1. Valitse Profiilit... WiFi-yhteysapuohjelman pääikkunassa. Tai jos toimit järjestelmänvalvojana, avaa Hallinta-apuohjelma.
  2. Avaa Luo WiFi-profiili -toiminnon Yleisasetukset-ikkuna valitsemalla profiililuettelossa Lisää.
  3. Profiilinimi: Anna profiilille kuvaava nimi.
  4. WiFi-verkon nimi (SSID): Anna verkon tunniste.
  5. Toimintatila: Valitse Verkko (perusrakenne). (Tämän parametrin arvoksi asetetaan Perusrakenne, jos käytät Hallinta-apuohjelmaa.)
  6. Hallintaprofiilityyppi: Valitse Pysyvä tai Yhteys ennen sisäänkirjautumista / Yhteinen. (Tätä vaihetta sovelletaan vain jos käytät Hallinta-apuohjelmaa.
  7. Avaa Suojausasetukset valitsemalla Seuraava.
  8. Valitse Enterprise-suojaus.
  9. Verkkotodennus: Valitse WPA-Enterprise tai WPA2-Enterprise (Suositus).
  10. Tiedon salaus: Valitse jokin seuraavista vaihtoehdoista: AES-CCMP on suositeltava menetelmä.
  11. Ota käyttöön 802.1X: Tämä on oletusarvon mukaan valittuna.
  12. Laillisuustarkistuksen tyyppi: Valitse PEAP käytettäväksi tässä yhteydessä.

Vaihe 1/2: PEAP-käyttäjä

PEAP käyttää Transport Layer Security (TLS) -yhteyskäytäntöä salaamattomia laillisuustarkistustyyppejä, kuten EAP-Generic Token Cardia (GTC) ja kertakäyttöistä salasanaa (OTP), varten.

  1. Laillisuustarkistuksen yhteyskäytäntö: Valitse joko GTC, MS-CHAP-V2 (oletus) tai TLS. Lisätietoja on kohdassa Laillisuustarkistuksen yhteyskäytännöt.
  2. Käyttäjätiedot: Seuraavat valinnat ovat käytettävissä Käyttäjätiedot-asetukselle. Käytettävissä olevat käyttäjätiedot eivät saata vastata tässä mainittuja riippuen siitä, luodaanko profiili Windows* XP:ssä vai luodaanko järjestelmänvalvojan profiili Windows XP:ssä, Windows Vistassa tai Windows* 7:ssä. Lisätietoja on tuonnempana tässä jaksossa.
  3. Solukonpäivitystiedot: Solukonpäivitystiedot voidaan täyttää tähän kenttään, tai voit käyttää muotoa %toimialue%\%käyttäjänimi% solukonpäivitystietojen syöttämisen oletusmuotona.

Kun laillisuustarkistuspalvelimena on 802.1X Microsoft IAS RADIUS, palvelin tarkistaa laitteen laillisuuden käyttämällä Intel® PROSet/Wireless WiFi -ohjelmiston Solukonpäivitystietoja ja jättää huomiotta Laillisuustarkistuksen yhteyskäytännön MS-CHAP-V2 -käyttäjänimen. Microsoft IAS RADIUS hyväksyy vain kelvollisen käyttäjänimen (dotNet user) Solukonpäivitystiedoille. Kaikki laillisuudentarkistuspalvelimet kohtelevat solukonpäivitystietoja valinnaisina. Näin ollen on suositeltavaa, että todellisten tietojen asemesta käytetään solukonpäivitystietojen haluttua aluenimeä (esimerkiksi nimeton@omatoimialue) todellisten tietojen asemesta.

Solukonpäivitystietojen päivittäminen tukemaan useita käyttäjiä:

Jos käytössä on Yhteys ennen sisäänkirjautumista / Yhteinen -profiili, joka edellyttää, että solukonpäivitystiedot perustuvat Windowsin sisäänkirjautumistietoihin, profiilin luoja voi lisätä solukonpäivitystiedot, joissa on %käyttäjänimi% ja %toimialue%. Solukonpäivitystiedot jäsennetään ja asianmukaiset kirjautumistiedot korvataan avainsanoilla. Tämä antaa käyttöön mahdollisimman suuren joustavuuden solukonpäivitystietojen määrittämisessä ja sallii samalla profiilin jakamisen useiden käyttäjien kesken.

Lisätietoja sopivien solukonpäivitystietojen muotoilemisesta on laillisuustarkistuspalvelimen käyttöoppaassa. Mahdollisia muotoja ovat seuraavat:

%toimialue%\%käyttäjänimi%
%käyttäjänimi%@%toimialue%
%käyttäjänimi%@%toimialue%.com
%käyttäjänimi%@omaverkko.com

Jos Solukonpäivitystiedot-kenttä on tyhjä, oletusarvon mukaan muoto on %toimialue%\%käyttäjänimi%.

Käyttäjätietoja koskevia huomautuksia: Tämän käyttäjänimen ja toimialueen pitää olla samoja kuin käyttäjänimi, jonka järjestelmänvalvoja on määrittänyt laillisuustarkistuspalvelimeen ennen asiakkaan laillisuustarkistusta. Käyttäjänimessä otetaan huomioon isot ja pienet kirjaimet. Tämä nimi määrittää TLS-tunnelin kautta toimivan laillisuustarkistuksen yhteyskäytännön varmistajalle myöntämät tunnistetiedot. Käyttäjän tunnistetiedot lähetetään suojattuina palvelimeen vasta sen jälkeen, kun salattu kanava on varmennettu ja muodostettu.

Laillisuustarkistuksen yhteyskäytännöt

Tämä parametri määrittää TTLS-tunnelin kautta käytettävät laillisuustarkistuksen yhteyskäytännöt. Jäljempänä on ohjeet PEAP-laillisuustarkistusta ja GTC-, MS-CHAP-V2 (oletus)- tai TLS-laillisuustarkistusyhteyskäytäntöjä käyttävän profiilin määrittämiseksi. Valitut käyttäjätiedot ovat esimerkkejä.

Generic Token Card (GTC)

Kertakäyttöisen salasanan määrittäminen:

  1. Laillisuustarkistuksen yhteyskäytäntö: Valitse GTC (Generic Token Card).
  2. Käyttäjätiedot: Valitse Kysy aina yhteyttä muodostettaessa. (Tämä valinta on käytettävissä vain henkilökohtaista profiilia luotaessa Windows* XP -koneessa. Se ei ole käytettävissä IT-profiileissa.)
  3. Kehote yhteyttä muodostettaessa: Valitse jokin seuraavista vaihtoehdoista:
Nimi Kuvaus
Pysyvä salasana Käyttäjätiedot annetaan yhteyttä muodostettaessa.
Kertasalasana (OTP) Salasana hankitaan tunnistelaitteesta.
PIN-tunnus (ohjelmallinen tunnus) Salasana hankitaan tunnisteohjelmasta.
  1. Valitse OK.
  2. Valitse profiili WiFi-verkot-luettelosta.
  3. Valitse Yhdistä. Anna pyydettäessä käyttäjänimi, toimialue ja kertakäyttöinen salasana (OTP).
  4. Valitse OK. Näyttöön tulee kehote varmistaa sisäänkirjautumistiedot.

kertasalasana

MS-CHAP-V2: Tämä parametri määrittää PEAP-tunnelin kautta käytettävän laillisuustarkistuksen yhteyskäytännön.

  1. Käyttäjätiedot: Valitse jokin seuraavista vaihtoehdoista: Käytä Windowsin sisäänkirjautumista, Kysy aina yhteyttä muodostettaessa tai Käytä seuraavaa. Pysyvillle profiileille valinnat ovat Käytä seuraavaa tai Käytä suojattua salasanaa.
  2. Avaa PEAP-palvelinasetukset valitsemalla Seuraava.

TLS: TLS (Transport Layer Security) -laillisuustarkistus on kaksisuuntainen laillisuustarkistusmenetelmä, joka käyttää yksinomaan digitaalisia sertifikaatteja asiakkaan ja palvelimen varmentamiseksi.

  1. Hanki asiakassertifikaatti ja asenna se. Saat lisätietoja järjestelmänvalvojalta tai kohdasta Windows* XP -profiilin luominen, kun käytössä on TLS-laillisuustarkistus.
  2. Hanki sertifikaatti valitsemalla jokin seuraavista: Käytä älykorttia, Käytä tälle tietokoneelle myönnettyä sertifikaattia tai Käytä tässä tietokoneessa olevaa käyttäjäsertifikaattia. Jos tämä on pysyvä järjestelmänvalvojan profiili, vain valinta Käytä tälle tietokoneelle myönnettyä sertifikaattia on käytettävissä.
  3. Avaa PEAP-palvelinasetukset valitsemalla Seuraava.

Vaihe 2/2: PEAP-palvelin

  1. Valitse jokin seuraavista käyttäjätietojen hakumenetelmistä: Varmenna palvelinsertifikaatti tai Määritä palvelimen tai sertifikaatin nimi.
  2. Valitse OK. Profiili lisätään profiililuetteloon.
  3. Valitse uusi profiili profiililuettelon lopusta. Sijoita ylä- ja alanuolen avulla uusi profiili sen prioriteettia vastaavaan kohtaan.
  4. Muodosta yhteys valittuun langattomaan verkkoon valitsemalla Yhdistä.

Jos Suojausasetukset-sivulla ei valittu Käytä Windowsin sisäänkirjautumista -asetusta eikä käyttäjätietoja määritetty, profiilille ei tallenneta käyttäjätietoja. Anna käyttäjätiedot, joita käytetään laillisuustarkistuksessa verkossa.

  1. Sulje apuohjelma valitsemalla OK.

Verkon LEAP-laillisuustarkistusta käyttävän profiilin luominen

Cisco LEAP (Light Extensible Authentication Protocol) on 802.1X-laillisuustarkistustyyppi, joka tukee molemminpuolista laillisuustarkistusta asiakkaan ja RADIUS-palvelimen välillä. LEAP-profiiliasetukset sisältävät LEAP:n, CKIP:n ja Rogue-tukiasematunnistuksen automaattisen integroimisen.

Profiilin kartoitus

Tämä profiili viedään eri tavalla asiakkaille, jotka käyttävät Windows* XP:tä verrattuna asiakkaisiin, jotka käyttävät Windows Vistaa* ja Windows* 7:ää. Katso lisätietoja kohdasta LEAP-profiilin kartoitus.

LEAP-laillisuustarkistusta käyttävän profiilin luominen

  1. Valitse Profiilit... WiFi-yhteysapuohjelman pääikkunassa. Tai jos toimit järjestelmänvalvojana, avaa Hallinta-apuohjelma.
  2. Valitse profiililuettelossa Lisää. Luo WiFi-profiili -toiminnon Yleisasetukset-ikkuna tulee näyttöön.
  3. Profiilinimi: Anna profiilille kuvaava nimi.
  4. WiFi-verkon nimi (SSID): Anna verkon tunniste.
  5. Toimintatila: Valitse Verkko (perusrakenne). (Tämän parametrin arvoksi asetetaan Perusrakenne, jos käytät Hallinta-apuohjelmaa.)
  6. Hallintaprofiilityyppi: Valitse Pysyvä tai Yhteys ennen sisäänkirjautumista / Yhteinen. (Tätä vaihetta sovelletaan vain jos käytät Hallinta-apuohjelmaa.
  7. Avaa Suojausasetukset valitsemalla Seuraava.
  8. Valitse Enterprise-suojaus.
  9. Verkkotodennus: Valitse WPA-Enterprise tai WPA2-Enterprise (suositellaan).
  10. Tiedon salaus: AES-CCMP on suositeltava menetelmä.
  11. Ota käyttöön 802.1X: Tämä on oletusarvon mukaan valittuna.
  12. Laillisuustarkistuksen tyyppi: Valitse LEAP käytettäväksi tässä yhteydessä.
  13. Valitse Cisco-asetukset.
  14. Valitsemalla Enable Cisco Compatible Extensions voit ottaa käyttöön Cisco Compatible Extensions (CCX) -suojauksen (Salli nopea solukonpäivitys (CCKM), Ota Radio Management -tuki käyttöön ja Salli sekasolutila).


    15. cisco extensions


  15. Valitsemalla Ota Radio Management -tuki käyttöön voit tunnistaa Rogue-tukiasemia.
  16. Palaa Suojausasetukset-ikkunaan valitsemalla OK.

LEAP-käyttäjä:

LEAP-käyttäjä
  1. Valitse jokin seuraavista laillisuustarkistusmenetelmistä. Jos valitsit Hallintaprofiilityyppi -kohdassa Pysyvä (kun Yhteys ennen sisäänkirjautumista / Yhteinen on valittuna tai valitsematta), ainoastaan vaihtoehto Käytä seuraavaa käyttäjänimeä ja salasanaa on käytettävissä. Jos valitsit vain Yhteys ennen sisäänkirjautumista / Yhteinen, kolme alla mainittua laillisuustarkistusmenetelmää on käytettävissä.
  2. Tallenna asetukset ja sulje sivu valitsemalla OK.

Verkon EAP-FAST-laillisuustarkistusta käyttävän profiilin luominen

Cisco on lisännyt Cisco Compatible Extensions, Version 3 (CCXv3) -ominaisuuteen EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) -tuen, jossa käytetään PAC-tunnuksia laillisuustarkistetun tunnelin muodostamiseksi asiakkaan ja palvelimen välille. Cisco Compatible Extensions, Version 4 (CCXv4) parantaa tehokkaan suojauksen käyttöönottomenetelmiä ja sisältää innovaatioita, jotka tehostavat suojausta, liikkuvuutta, palvelun laatua ja verkonhallintaa.

Profiilin kartoitus

Tämä profiili viedään eri tavalla asiakkaille, jotka käyttävät Windows* XP:tä verrattuna asiakkaisiin, jotka käyttävät Windows Vistaa* ja Windows* 7:ää. Katso lisätietoja kohdasta EAP-FAST-profiilin kartoitus.

Profiilin luominen käyttämään EAP-FAST-laillisuustarkistusta käyttäen Cisco Compatible Extensions -asetuksia, versio 3 (CCXv3)

  1. Valitse Profiilit... WiFi-yhteysapuohjelman pääikkunassa. Tai jos toimit järjestelmänvalvojana, avaa Hallinta-apuohjelma.
  2. Avaa Luo WiFi-profiili -toiminnon Yleisasetukset-ikkuna valitsemalla profiililuettelossa Lisää.
  3. WiFi-verkon nimi (SSID): Anna verkon tunniste.
  4. Profiilinimi: Anna profiilille kuvaava nimi.
  5. Toimintatila: Valitse Verkko (perusrakenne). (Tämän parametrin arvoksi asetetaan Perusrakenne, jos käytät Hallinta-apuohjelmaa.)
  6. Hallintaprofiilityyppi: Valitse Pysyvä tai Yhteys ennen sisäänkirjautumista / Yhteinen. (Tätä vaihetta sovelletaan vain jos käytät Hallinta-apuohjelmaa.
  7. Avaa Suojausasetukset valitsemalla Seuraava.
  8. Valitse Enterprise-suojaus.
  9. Verkkotodennus: Valitse WPA-Enterprise tai WPA2-Enterprise (suositellaan).
  10. Tiedon salaus: AES-CCMP on suositeltava menetelmä.
  11. Ota käyttöön 802.1X: Tämä on oletusarvon mukaan valittuna.
  12. Laillisuustarkistuksen tyyppi: Valitse EAP-FAST käytettäväksi tässä yhteydessä.

HUOMAUTUS: Jos CCXv4-sovellusasetusta ei ole asennettu järjestelmänvalvojan pakkauksella, kokoonpanossa on käytettävissä vain EAP-FAST-käyttäjäasetukset. Lisätietoja on kohdassa EAP-FAST-käyttäjäasetukset.

Vaihe 1/2: EAP-FAST-käyttöönotto

  1. Salli käyttöönotto palvelinlaillisuustarkistamattoman (Laillisuustarkistamaton-TLS-palvelin-käyttöönottotila) TLS-tunnelin sisällä valitsemalla Poista EAP-FAST-parannukset (CCXv4) käytöstä.
  2. Voit tarkastella aikaisemmin myönnettyjä ja tietokoneessa sijaitsevia PAC-tietoja valitsemalla Valitse palvelin. (Tämä asetus ei ole käytettävissä järjestelmänvalvojan profiileja määritettäessä. Se on käytettävissä vain käyttäjäprofiileille Windows* XP -koneissa.)

HUOMAUTUS: Jos käyttöön otettu PAC (Protected Access Credential) -tunnus kelpaa, WiFi-yhteysapuohjelma ei pyydä käyttäjää hyväksymään sitä. Jos PAC-tunnus ei kelpaa, WiFi-yhteysapuohjelma ei pysty suorittamaan käöyttöönottoa automaattisesti. Wireless-tapahtumientarkastelu-ikkunassa esitetään tilailmoitus, jota järjestelmänvalvoja voi tarkastella käyttäjän tietokoneessa.

  1. PAC:n tuominen: (Tämä asetus ei ole käytettävissä järjestelmänvalvojan profiileja määritettäessä. Se on käytettävissä vain käyttäjäprofiileille Windows* XP -koneissa.)
PAC
    1. Avaa PAC (Protected Access Credentials) -tieto -luettelo valitsemalla Valitse palvelin.
    2. Tuo tietokoneessa tai palvelimessa sijaitseva PAC valitsemalla Tuo.
    3. Valitse PAC ja valitse sitten Avaa.
    4. Anna PAC-salasana (valinnainen).
    5. Sulje sivu valitsemalla OK. Valittu PAC lisätään PAC-luetteloon.
  1. Valitse käyttäjätietojen hakumenetelmä valitsemalla Seuraava tai tallenna EAP-FAST-asetukset ja palaa profiililuetteloon valitsemalla OK. PAC:tä käytetään tässä langattomassa profiilissa.

Vaihe 2/2: EAP-FAST-lisätiedot

Asiakkaan laillisuustarkistuksen suorittamiseksi muodostetussa tunnelissa asiakas lähettää käyttäjänimen ja salasanan laillisuustarkistusta ja asiakkaan todennuskäytännön muodostamiseksi.

  1. Valitse jokin seuraavista käyttäjätietojen hakumenetelmistä valitsemalla Käyttäjätiedot: Käytä Windowsin sisäänkirjautumista, Kysy aina yhteyttä muodostettaessa tai Käytä seuraavaa.
  2. Tallenna asetukset ja sulje sivu valitsemalla OK. Palvelinvarmennusta ei vaadita.

Profiilin luominen käyttämään EAP-FAST-laillisuustarkistusta käyttäen Cisco Compatible Extensions -asetuksia, versio 4 (CCXv4)

  1. Valitse Profiilit... WiFi-yhteysapuohjelman pääikkunassa. Tai jos toimit järjestelmänvalvojana, avaa Hallinta-apuohjelma.
  2. Avaa Luo WiFi-profiili -toiminnon Yleisasetukset-ikkuna valitsemalla profiililuettelossa Lisää.
  3. WiFi-verkon nimi (SSID): Anna verkon tunniste.
  4. Profiilinimi: Anna profiilille kuvaava nimi.
  5. Toimintatila: Valitse Verkko (perusrakenne). (Tämän parametrin arvoksi asetetaan Perusrakenne, jos käytät Hallinta-apuohjelmaa.)
  6. Hallintaprofiilityyppi: Valitse Pysyvä tai Yhteys ennen sisäänkirjautumista / Yhteinen. (Tätä vaihetta sovelletaan vain jos käytät Hallinta-apuohjelmaa.
  7. Avaa Suojausasetukset valitsemalla Seuraava.
  8. Valitse Enterprise-suojaus.
  9. Verkkotodennus: Valitse WPA-Enterprise tai WPA2-Enterprise (suositellaan).
  10. Tiedon salaus: AES-CCMP on suositeltava menetelmä.
  11. Ota käyttöön 802.1X: Valittuna.
  12. Laillisuustarkistuksen tyyppi: Valitse EAP-FAST käytettäväksi tässä yhteydessä.

EAP-FAST-käyttöönotto

Vaihe 1/3: EAP-FAST-käyttöönotto

CCXv4:n kanssa EAP-FAST tukee kahta seuraavaa käyttöönottotilaa:

HUOMAUTUS: Palvelinlaillisuustarkistettu tila antaa käyttöön merkittävästi tehokkaan suojauksen kuin palvelinlaillisuustarkistamaton tila, vaikka sisempänä menetelmänä olisikin EAP-MS-CHAP-V2. Tämä tilaa suojaa EAP-MS-CHAP-V2-vaihdon mahdollisilta Man-in-the-Middle-hyökkäyksiltä varmentamalla palvelimen laillisuuden ennen MS-CHAP-V2-vaihtoa. Näin ollen palvelinlaillisuustarkistettua tilaa on suositeltavaa käyttää aina, kun se on mahdollista. EAP-FAST-vertaisyksikön pitää käyttää palvelinlaillisuustarkistettua tilaa aina, kun sertifikaatti tai julkinen avain on käytettävissä palvelimen laillisuuden tarkistamiseksi ja varmistaa parhaat suojauskäytännöt.

PAC:n (Protected Access Credentials) käyttöönotto:

EAP-FAST käyttää PAC-avainta siirrettävien käyttäjätietojen suojaamisessa. Kaikkien EAP-FAST-laillisuustarkistajien tunnisteena käytetään myöntäjätunnusta (A-ID). Paikallinen laillisuustarkastaja lähettää myöntäjätunnuksensa (A-ID) laisllisuustarkistuksen tekevälle asiakkaalle, ja asiakas tarkistaa, onko sen tietokannassa vastaava myöntäjätunnus. Jos asiakas ei tunnista myöntäjätunnusta, se pyytää uuden PAC:n.

HUOMAUTUS: Jos käyttöön otettu PAC (Protected Access Credential) -tunnus kelpaa, WiFi-yhteysapuohjelma ei pyydä käyttäjää hyväksymään sitä. Jos PAC-tunnus ei kelpaa, WiFi-yhteysapuohjelma ei pysty suorittamaan käöyttöönottoa automaattisesti. Wireless-tapahtumientarkastelu-ikkunassa esitetään tilailmoitus, jota järjestelmänvalvoja voi tarkastella käyttäjän tietokoneessa.

  1. Tarkista, että Poista EAP-FAST-parannukset (CCXv4) käytöstä ei ole valittuna. Salli valtuuttamaton käyttöönotto ja Salli valtuutettu käyttöönotto ovat oletusarvon mukaan valittuina. Kun PAC on valittu oletuspalvelimesta, voit poistaa näiden käyttöönottomenetelmien valinnan.
  2. Oletuspalvelin: Oletusasetus on Ei mitään. Valitse PAC oletusarvon mukaisesta PAC-myöntäjäpalvelimesta valitsemalla Valitse palvelin tai valitse palvelin Palvelinryhmä-luettelosta. Näyttöön tulee EAP-FAST-oletuspalvelimen (PAC-myöntäjä) valintasivu.

HUOMAUTUS: Palvelinryhmät luetellaan vain silloin, kun tietokoneeseen on asennettu Järjestelmänvalvojan pakkaus, joka sisältää EAP-FAST-A-tunnusryhmä-asetukset.

PAC-jakelu voidaan myös suorittaa manuaalisesti. Manuaalisen käyttöönoton avulla voidaan luoda PAC-tunnus ACS-palvelimen käyttäjälle ja sitten tuoda se käyttäjän tietokoneeseen. PAC-tiedosto voidaan suojata salasanalla, joka käyttäjän pitää antaa PAC:n tuonnin aikana.

  1. PAC:n tuominen:
    1. Tuo PAC PAC-palvelimesta valitsemalla Tuo.
    2. Valitse Avaa.
    3. Anna PAC-salasana (valinnainen).
    4. Sulje sivu valitsemalla OK. Valittua PAC:tä käytetään tässä langattomassa profiilissa.

EAP-FAST CCXv4 muodostaa tuen muiden käyttäjätietojen käyttöönotolle tunnelin muodostamisessa parhaillaan käytettävän PAC-tunnuksen ohella. Tuettuihin käyttäjätunnustyyppeihin sisältyvät luotettava CA-sertifikaatti, koneen käyttäjätiedot koneen laillisuustarkistusta varten ja tilapäiset käyttäjätiedot, joita käytetään käyttäjän laillisuustarkistuksen ohittamiseksi.

Käytä sertifikaattia (TLS-laillisuustarkistus)

  1. Valitse Käytä sertifikaattia (TLS-laillisuustarkistus).
  2. Valitse Identiteetinsuojaus, kun tunneli on suojattu.
  3. Hanki sertifikaatti valitsemalla jokin seuraavista: Käytä älykorttia, Käytä tälle tietokoneelle myönnettyä sertifikaattia tai Käytä tässä tietokoneessa olevaa käyttäjäsertifikaattia.
  4. Käyttäjänimi: Anna käyttäjäsertifikaattiin liitetty käyttäjänimi.
  5. Valitse Seuraava.

Vaihe 2/3: EAP-FAST-lisätiedot

Jos valitsit Käytä sertifikaattia (TLS-laillisuustarkistus)- ja Käytä tässä tietokoneessa olevaa käyttäjäsertifikaattia -asetuksia, valitse Seuraava (solukonpäivitystietoja ei vaadita) ja määritä EAP-FAST-palvelinsertifikaattiasetukset jatkamalla vaiheesta 3. Jos EAP-FAST-palvelinasetuksia ei ole tarpeen määrittää, tallenna asetukset ja palaa Profiilit-sivulle valitsemalla OK.

Jos valitsit Käytä älykorttia, lisää solukonpäivitystiedot tarvittaessa. Tallenna asetukset ja palaa Profiilit-sivulle valitsemalla OK.

Jos et valinnut Käytä sertifikaattia (TLS-laillisuustarkistus) -vaihtoehtoa, valitse laillisuustarkistusyhteyskäytäntö valitsemalla Seuraava. CCXv4 sallii lisäkäyttäjätiedot tai TLS-koodiryhmät tunnelin muodostamiseksi.

Laillisuustarkistuksen yhteyskäytäntö: Valitse joko GTC tai MS-CHAP-V2 (oletus).

Generic Token Card (GTC)

GTC-menetelmää voidaan käyttää palvelinlaillisuustarkistetussa tilassa. Tämä sallii muita tietokantoja, kuten LDAP:ta (Lightweight Directory Access Protocol) ja kertasalasanatekniikkaa, käyttämisen vertaisyksikköjen käyttöönoton kaistansisäisesti. Korvaaminen voidaan kuitenkin saavuttaa vain käytettäessä TLS-koodiryhmiä, jotka varmistavat palvelinlaillisuustarkistuksen.

Kertakäyttöisen salasanan määrittäminen:

  1. Laillisuustarkistuksen yhteyskäytäntö: Valitse GTC (Generic Token Card).
  2. Käyttäjätiedot: Valitse Kysy aina yhteyttä muodostettaessa.
  3. Kehote yhteyttä muodostettaessa: Valitse jokin seuraavista vaihtoehdoista:
Nimi Kuvaus
Pysyvä salasana Käyttäjätiedot annetaan yhteyttä muodostettaessa.
Kertasalasana (OTP) Salasana hankitaan tunnistelaitteesta.
PIN-tunnus (ohjelmallinen tunnus) Salasana hankitaan tunnisteohjelmasta.
  1. Valitse OK.
  2. Valitse profiili WiFi-verkot-luettelosta.
  3. Valitse Yhdistä. Anna pyydettäessä käyttäjänimi, toimialue ja kertakäyttöinen salasana (OTP).
  4. Valitse OK.

MS-CHAP-V2. Tämä parametri määrittää PEAP-tunnelin kautta käytettävän laillisuustarkistuksen yhteyskäytännön.

  1. Laillisuustarkistuksen yhteyskäytäntö: Valitse MS-CHAP-V2.
  2. Valitse käyttäjätiedot: Käytä Windowsin sisäänkirjautumista, Kysy aina yhteyttä muodostettaessa tai Käytä seuraavaa.
  3. Solukonpäivitystiedot: Solukonpäivitystiedot voidaan täyttää tähän kenttään, tai voit käyttää muotoa %toimialue%\%käyttäjänimi% solukonpäivitystietojen syöttämisen oletusmuotona.

Kun laillisuustarkistuspalvelimena on 802.1X Microsoft IAS RADIUS, palvelin tarkistaa laitteen laillisuuden käyttämällä Intel® PROSet/Wireless WiFi -ohjelmiston Solukonpäivitystietoja ja jättää huomiotta Laillisuustarkistuksen yhteyskäytännön MS-CHAP-V2 -käyttäjänimen. Microsoft IAS RADIUS hyväksyy vain kelvollisen käyttäjänimen (dotNet user) Solukonpäivitystiedoille. Kaikki laillisuudentarkistuspalvelimet kohtelevat solukonpäivitystietoja valinnaisina. Näin ollen on suositeltavaa, että todellisten tietojen asemesta käytetään solukonpäivitystietojen haluttua aluenimeä (esimerkiksi nimeton@omatoimialue) todellisten tietojen asemesta.

Vaihe 3/3: EAP-FAST-palvelin

Laillisuustarkistettu-TLS-palvelin-käyttöönottotilaa tuetaan käytettäessä luotettavaa CA-sertifikaattia, itsemyönnettyä palvelinsertifikaattia tai palvelimen julkisia avaimia sekä GTC:tä sisempänä EAP-menetelmänä.

  1. Valitse jokin seuraavista käyttäjätietojen hakumenetelmistä: Varmenna palvelinsertifikaatti tai Määritä palvelimen tai sertifikaatin nimi.
  2. Sulje Suojausasetukset-ikkuna valitsemalla OK-painike.

EAP-FAST-käyttäjäasetukset:

HUOMAUTUS: Jos järjestelmänvalvojan pakkaus, joka tuodaan käyttäjän tietokoneeseen, ei sisällä CCXv4-hallinta-apuohjelman käyttöönoton sovellusasetusta, ainoastaan EAP-FAST-käyttäjäasetukset ovat käytettävissä tässä kokoonpanossa.

Asiakkaan määrittäminen käyttämään EAP-FAST-laillisuustarkistusta:

  1. Valitse Profiilit... WiFi-yhteysapuohjelman pääikkunassa. Tai jos toimit järjestelmänvalvojana, avaa Hallinta-apuohjelma.
  2. Avaa Profiili-sivulla Luo WiFi-profiili -hallintatoiminnon Yleisasetukset-ikkuna valitsemalla Lisää.
  3. WiFi-verkon nimi (SSID): Anna verkon tunniste.
  4. Profiilinimi: Anna profiilille kuvaava nimi.
  5. Toimintatila: Valitse Verkko (perusrakenne). (Tämän parametrin arvoksi asetetaan Perusrakenne, jos käytät Hallinta-apuohjelmaa.)
  6. Hallintaprofiilityyppi: Valitse Pysyvä tai Yhteys ennen sisäänkirjautumista / Yhteinen. (Tätä vaihetta sovelletaan vain jos käytät Hallinta-apuohjelmaa.
  7. Avaa Suojausasetukset valitsemalla Seuraava.
  8. Valitse Enterprise-suojaus.
  9. Verkkotodennus: Valitse WPA-Enterprise tai WPA2-Enterprise.
  10. Tiedon salaus: Valitse jokin seuraavista vaihtoehdoista:
  11. Ota käyttöön 802.1X: Valittuna.
  12. Laillisuustarkistuksen tyyppi: Valitse EAP-FAST käytettäväksi tässä yhteydessä.
  13. Voit valita Salli nopea solukonpäivitys (CCKM) -toiminnon, joka sallii WiFi-asiakassovittimen nopean ja suojatun solukonpäivityksen, valitsemalla Cisco-asetukset.

Vaihe 1/3: EAP-FAST-käyttäjäasetukset:

EAP-FAST käyttää PAC-avainta siirrettävien käyttäjätietojen suojaamisessa. Kaikkien EAP-FAST-laillisuustarkistajien tunnisteena käytetään myöntäjätunnusta (A-ID). Paikallinen laillisuustarkastaja lähettää myöntäjätunnuksensa (A-ID) laisllisuustarkistuksen tekevälle asiakkaalle, ja asiakas tarkistaa, onko sen tietokannassa vastaava myöntäjätunnus. Jos asiakas ei tunnista myöntäjätunnusta, se pyytää uuden PAC:n.

HUOMAUTUS: Jos käyttöön otettu PAC (Protected Access Credential) -tunnus kelpaa, WiFi-yhteysapuohjelma ei pyydä käyttäjää hyväksymään sitä. Jos PAC-tunnus ei kelpaa, WiFi-yhteysapuohjelma ei pysty suorittamaan käöyttöönottoa automaattisesti. Wireless-tapahtumientarkastelu-ikkunassa esitetään tilailmoitus, jota järjestelmänvalvoja voi tarkastella käyttäjän tietokoneessa.

  1. Jätä Poista EAP-FAST-parannukset (CCXv4) käytöstä -valintaruutu valitsematta.
  2. Salli valtuutettu käyttöönotto ja Salli valtuuttamaton käyttöönotto ovat oletusarvon mukaan valittuina.
  3. Oletuspalvelin: Oletusasetus on Ei mitään. Valitse PAC oletusarvon mukaisesta PAC-myöntäjäpalvelimesta valitsemalla Valitse palvelin. Näyttöön tulee PAC (Protected Access Credentials) -tunnuksen valintasivu.

HUOMAUTUS: Palvelinryhmät luetellaan vain silloin, kun tietokoneeseen on asennettu Järjestelmänvalvojan pakkaus, joka sisältää EAP-FAST-A-tunnusryhmä-asetukset.

PAC-jakelu voidaan myös suorittaa manuaalisesti. Manuaalisen käyttöönoton avulla voidaan luoda PAC-tunnus ACS-palvelimen käyttäjälle ja sitten tuoda se käyttäjän tietokoneeseen. PAC-tiedosto voidaan suojata salasanalla, joka käyttäjän pitää antaa PAC:n tuonnin aikana.

  1. PAC:n tuominen:
    1. Tuo PAC PAC-palvelimesta valitsemalla Tuo.
    2. Valitse Avaa.
    3. Anna PAC-salasana (valinnainen).
    4. Sulje sivu valitsemalla OK. Valittua PAC:tä käytetään tässä langattomassa profiilissa.
  2. Valitse Seuraava.
  3. Jos kyseessä ei ole Yhteys ennen sisäänkirjautumista / Yhteinen -profiili, valitse Seuraava ja siirry suoraan kohtaan Vaihe 3/3: EAP-FAST-palvelin.
  4. Jos kyseessä on Yhteys ennen sisäänkirjautumista / Yhteinen -profiili tai jos profiilin luomisessa ei käytetä Hallinta-apuohjelmaa, jatka seuraavasta vaiheesta.

Vaihe 2/3: EAP-FAST-lisätiedot

  1. Laillisuustarkistuksen yhteyskäytäntö: Valitse MS-CHAP-V2 tai GTC
  2. Käyttäjätiedot: Valitse Käytä Windowsin sisäänkirjautumista tai Käytä seuraavaa.
  3. Jos valitsit Käytä seuraavaa -vaihtoehdon, anna käyttäjänimi, toimialue, salasana ja salasanan vahvistus.
  4. Anna solukonpäivitystiedot: %TOIMIALUE%\%KÄYTTÄJÄNIMI
  5. Valitse Seuraava.

Vaihe 3/3: EAP-FAST-palvelin

  1. Valitse tarvittaessa Varmenna palvelinsertifikaatti ja valitse sitten sertifikaatin myöntäjä luetteloruudusta. Oletusarvo on Mikä tahansa luotettu sertifikaatinmyöntäjä.
  2. Valitse tarvittaessa Määritä Palvelin tai sertifikaatin nimi ja anna sitten nimi. Valitse sitten Palvelinnimen on oltava täsmälleen sama tai Toimialueen nimen lopussa on oltava määritetty merkintä. Palvelinnimessä saa käyttää kaikkia merkkejä, myös erikoismerkkejä.
  3. Valitse OK.

Takaisin alkuun

Takaisin Sisällys-sivulle

Tavaramerkit ja vastuuvapautuslausekkeet