The Cable GuySingle Sign-On wireless

Joseph Davies

Le connessioni wireless che vengono stabilite e, quindi, devono eseguire l'autenticazione con una rete privata possono complicare ulteriormente le cose agli utenti e agli amministratori. Un client wireless basato su Windows e membro di un dominio di Active Directory deve eseguire un'autenticazione basata su IEEE 802.1X per ottenere una

connessione wireless protetta e un accesso di dominio. Poiché l'autenticazione può coinvolgere le credenziali utente o computer e gli accessi di dominio dipendono dalla connettività della rete, sorgono problemi al momento di configurare l'ordine di esecuzione delle autenticazioni e specificare le credenziali appropriate. Tutto ciò può influire sugli accessi di dominio e creare situazioni in cui a un utente vengono richieste le credenziali più volte.

Fortunatamente, Single Sign-On wireless in Windows Vista® consente di specificare che l'autenticazione IEEE 802.1X per Wi-Fi Protected Access 2 (WPA2)-Enterprise e WPA-Enterprise e l'autenticazione 802.1X con Wireless Equivalency Privacy (WEP) devono aver luogo prima del processo di accesso utente. Ciò consente di risolvere i problemi di accesso di dominio in configurazioni specifiche. Single Sign-On wireless, inoltre, integra perfettamente l'autenticazione wireless con l'esperienza di accesso di Windows®, rendendo gli utenti, nel complesso, più soddisfatti. Per tali motivi, questo mese verranno esaminate le funzionalità di Single Sign-On wireless, come configurarlo e il suo funzionamento durante il processo di accesso utente.

Concetti di base di Single Sign-On

Un client wireless di Windows può eseguire l'autenticazione alla rete wireless utilizzando soltanto le credenziali computer o utente, o una loro combinazione. Quando si utilizzano solo le credenziali computer, l'autenticazione 802.1X viene eseguita prima di visualizzare la schermata di accesso di Windows. In questo modo il computer client wireless accede inizialmente a risorse di rete quali i controller di dominio di Active Directory®.

Quando si utilizzano solo le credenziali utente, in Windows senza Single Sign-On l'autenticazione 802.1X viene eseguita al termine del processo di accesso. Nella Figura 1 viene illustrata la sequenza temporale di avvio e accesso per questo scenario.

Figura 1 Sequenza temporale quando vengono utilizzate solo le credenziali utente per l'autenticazione wireless

Figura 1** Sequenza temporale quando vengono utilizzate solo le credenziali utente per l'autenticazione wireless **(Fare clic sull'immagine per ingrandirla)

Se si utilizzano solo le credenziali utente per l'autenticazione wireless, l'utente non può eseguire l'accesso di dominio iniziale a un computer poiché nella cache locale non esistono credenziali per il suo account e manca la connettività al controller di dominio necessaria per autenticare le nuove credenziali di accesso. Inoltre, alcune operazioni di accesso di dominio non riusciranno, in quanto al momento non è disponibile la connettività ai controller del dominio di Active Directory. In particolare, gli script di accesso e gli aggiornamenti di Criteri di gruppo e del profilo utente non possono essere eseguiti e generano errori nel registro eventi di Windows.

Quando si utilizza una combinazione di credenziali utente e computer, l'autenticazione 802.1X viene eseguita con le credenziali computer prima di visualizzare la schermata di accesso di Windows. Dopo che l'utente ha avuto accesso, in Windows viene eseguita un'altra autenticazione 802.1X con le credenziali utente. Alcune infrastrutture di rete ricorrono a LAN virtuali (VLAN) diverse per i computer autenticati tramite le credenziali computer e per quelli in cui sono state utilizzate le credenziali utente. Se l'autenticazione alla rete wireless tramite le credenziali utente e la commutazione alla VLAN autenticata in base a queste credenziali si verificano dopo il processo di accesso utente, il client wireless Windows non potrà accedere alle risorse di rete di tale VLAN, ad esempio ai controller di dominio di Active Directory, durante il processo di accesso utente. Ancora una volta, ciò rende impossibile eseguire operazioni di accesso di dominio.

Un altro problema si verifica quando l'autenticazione wireless basata sulle credenziali utente utilizza una serie diversa di credenziali di protezione rispetto a quelle di accesso utente. Per tali configurazioni, in Windows vengono richieste credenziali utente aggiuntive all'inizio dell'autenticazione wireless, il che può confondere.

La funzionalità Single Sign-On in Windows Vista è stata sviluppata per risolvere i problemi relativi agli accessi di dominio e alla separazione delle VLAN autenticate in base alle credenziali utente e computer e per rispondere alla necessità di richiedere all'utente credenziali diverse in momenti differenti. Grazie a Single Sign-On, gli amministratori di rete possono specificare che l'autenticazione wireless tramite le credenziali utente deve aver luogo prima del processo di accesso utente. Quando le credenziali utente necessarie per l'accesso e per l'autenticazione wireless sono diverse, vengono tutte richieste e raccolte nella schermata di accesso di Windows.

Con Single Sign-On, un client wireless di Windows Vista può essere configurato per eseguire l'autenticazione di rete wireless con le credenziali utente prima del processo di accesso utente. Nella Figura 2 viene illustrata la nuova sequenza temporale di avvio e accesso.

Figura 2 Sequenza temporale quando l'autenticazione di rete wireless con le credenziali utente si verifica prima dell'accesso utente

Figura 2** Sequenza temporale quando l'autenticazione di rete wireless con le credenziali utente si verifica prima dell'accesso utente **(Fare clic sull'immagine per ingrandirla)

In questo modo, le configurazioni che utilizzano solo credenziali utente o una combinazione di credenziali utente e computer con VLAN separate non perdono alcuna funzionalità. Poiché il client wireless è dotato di connettività di rete o connettività alla VLAN autenticata in base alle credenziali utente prima che inizi il processo di accesso utente, le operazioni di accesso di dominio possono essere eseguite correttamente. Per un esempio, vedere "Connessione di un client wireless Windows Vista a un dominio" all'indirizzo microsoft.com/technet/network/wifi/vista_bootstrap_wireless.mspx.

In base alla configurazione del profilo wireless, Single Sign-On consolida i campi di input per le credenziali utente per l'autenticazione wireless e li aggiunge alla schermata di accesso di Windows. Pertanto, l'utente fornisce nello stesso momento tutte le proprie credenziali, necessarie per l'accesso utente e l'autenticazione wireless basata su di esse.

I metodi Extensible Authentication Protocol (EAP) scritti per la nuova architettura EAPHost in Windows Vista possono utilizzare l'API di supporto EAP Pre-Logon Authentication Provider (PLAP) in modo da includere i campi di input necessari per l'autenticazione nella schermata di accesso di Windows. Per ulteriori informazioni, vedere l'API di SSO e PLAP all'indirizzo msdn2.microsoft.com/bb530584.

Come esempio di una sessione di Single Sign-On, considerare un client wireless di Windows Vista configurato per eseguire l'autenticazione utilizzando solo le credenziali utente e un nome utente e una password sia per l'accesso di dominio che per l'autenticazione 802.1X. Quando si preme CTRL+ALT+CANC nella schermata iniziale di Windows Vista, Single Sign-On stabilisce che l'autenticazione 802.1X deve avere luogo prima dell'accesso utente. Quando l'utente digita il nome utente e la password, Single Sign-On esegue prima l'autenticazione di rete wireless basata sulle credenziali utente, quindi visualizza un messaggio che indica che si sta connettendo alla rete wireless per nome. Dopo l'autenticazione wireless, in Windows Vista viene eseguito l'accesso utente e visualizzato il desktop dell'utente.

Configurazione di Single Sign-On

Dietro le quinte

Per comprendere meglio il processo di autenticazione wireless, è opportuno esaminare da vicino cosa accade quando l'utente cerca attivamente di accedere. Quando si preme CTRL+ALT+CANC per l'accesso utente in un client wireless dotato di Windows Vista, si verificano i passaggi seguenti.

  1. Configurazione automatica reti wireless determina il profilo di rete wireless da utilizzare. Se il client wireless ha già eseguito correttamente l'autenticazione tramite le credenziali computer, viene utilizzato il profilo di rete wireless attualmente connesso. Se il profilo wireless determinato è configurato per eseguire l'autenticazione soltanto con le credenziali computer, non è necessaria l'autenticazione wireless aggiuntiva tramite le credenziali utente. I passaggi da 2 a 6 presuppongono che il profilo wireless selezionato sia configurato per eseguire l'autenticazione con le credenziali utente, che Single Sign-On sia abilitato per tale profilo e che sia selezionata l'impostazione Esegui immediatamente prima dell'accesso utente.
  2. L'utente digita le proprie credenziali per l'accesso utente e l'autenticazione wireless (se necessario) e inizia il processo di accesso.
  3. In Windows, un messaggio informa l'utente che è in corso il tentativo di connessione al nome di rete wireless specificato.
  4. In Windows viene eseguito il tentativo di autenticare la rete wireless tramite le credenziali utente. Se è abilitata l'impostazione Consenti visualizzazione di finestre di dialogo aggiuntive durante Single Sign On e per il tipo EAP è necessario che siano visualizzate ulteriori finestre di dialogo, queste ultime sono visibili. Se l'autenticazione wireless non si verifica correttamente entro il Ritardo massimo connettività (secondi), viene abbandonata. Se è selezionata l'impostazione La rete utilizza una VLAN diversa per l'autenticazione con credenziali utente e computer, in Windows viene eseguito il rinnovo DHCP della configurazione di indirizzo IP della scheda di rete wireless, quando l'autenticazione wireless ha buon esito.
  5. In Windows viene eseguito il processo di accesso utente.
  6. In Windows viene visualizzato il desktop.

Se è selezionata l'impostazione Esegui immediatamente dopo l'accesso utente, in Windows vengono eseguiti i passaggi, nell'ordine seguente: 1, 2, 5, 3, 4, 6.

Per attivare e configurare Single Sign-On, è possibile utilizzare l'estensione dei Criteri di gruppo relativa ai criteri di rete wireless (IEEE 802.11) e configurare le impostazioni di protezione avanzate per un profilo wireless di un criterio Windows Vista. Per ulteriori informazioni sull'argomento, vedere "Impostazioni dei Criteri di gruppo wireless per Windows Vista" all'indirizzo technetmagazine.com/issues/2007/04/CableGuy .

Nella finestra di dialogo Impostazioni di protezione avanzate, selezionare l'opzione Attiva Single Sign-On per la rete e configurare le opzioni di Single Sign-On come necessario. Nella Figura 3 viene illustrato un esempio di Single Sign-On abilitato con le impostazioni predefinite.

Figura 3 Impostazioni predefinite di Single Sign-On

Figura 3** Impostazioni predefinite di Single Sign-On **

Sono disponibili impostazioni di Single Sign-On per eseguire l'autenticazione wireless 802.1X immediatamente prima o dopo il processo di accesso utente e per specificare il ritardo per il completamento dell'autenticazione 802.1X prima di iniziare tale processo. È inoltre possibile indicare se visualizzare finestre di dialogo oltre al consolidamento dei campi di input nella schermata di accesso di Windows. Ad esempio, se per un tipo di EAP l'utente deve confermare il certificato inviato dal server Remote Authentication Dial-in User Service (RADIUS) durante l'autenticazione, il tipo di EAP può visualizzare la finestra di dialogo.

Inoltre è possibile specificare che il client wireless dovrebbe iniziare il rinnovo Dynamic Host Configuration Protocol (DHCP) della configurazione TCP/IP della scheda wireless dopo l'esecuzione dell'autenticazione basata sull'utente. Selezionare questa opzione se esistono VLAN separate per client wireless autenticati tramite le credenziali computer e utente e se tali VLAN sono sottoreti IPv4 o IPv6 distinte.

Una volta creato il profilo wireless contenente le impostazioni di Single Sign-On entro il criterio, è anche possibile configurare i client wireless di Windows Vista esportando il profilo come file XML, quindi importando il profilo XML nei client wireless di Windows Vista.

Per creare un profilo wireless XML di Single Sign-On, generare un profilo wireless con le impostazioni di Single Sign-On appropriate. Nella scheda Generale del criterio wireless di Windows Vista, fare clic sul profilo wireless con le impostazioni di Single Sign-On, quindi selezionare Esporta. Quando richiesto, specificare il nome file XML del profilo e il relativo percorso.

Per utilizzare il profilo XML di Single Sign-On allo scopo di configurare un altro client wireless di Windows Vista, importare il profilo XML tramite il comando:

netsh wlan add profile filename=
    "[FileName].xml"

Per stabilire se Single Sign-On è abilitato per un profilo wireless, utilizzare:

netsh wlan show profile=[ProfileName] 

Le impostazioni di Single Sign-On sono elencate nella sezione "Security settings" della visualizzazione del comando netsh wlan show profile e nel testo degli eventi della connessione wireless nel registro eventi di Windows. È inoltre possibile utilizzare lo snap-in Visualizzatore eventi per esaminare gli eventi nella cartella Microsoft\Windows\WLAN-AutoConfig dei Registri applicazioni e servizi con l'origine "WLAN-AutoConfig" e gli ID di evento 13001, 13002, 13003 e 13004.

Per ulteriori informazioni, visitare la pagina Web sulle connessioni alle reti wireless all'indirizzo microsoft. com/wifi. Vedere anche l'intestazione laterale "Dietro le quinte" per ulteriori dettagli sul processo Single Sign-On.

Joseph Daviesè autore tecnico presso Microsoft. Dal 1992 tiene corsi e scrive su argomenti legati alle reti Microsoft. Ha scritto cinque libri per Microsoft Press ed è autore della rubrica mensile TechNet Cable Guy.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.