Exporteren (0) Afdrukken
Alles uitvouwen

Draadloze toegang met beveiligd-wachtwoordverificatie

Draadloze toegang met beveiligd-wachtwoordverificatie

In dit voorbeeld beheert de netwerkbeheerder de verificatie op basis van groepen. De optie RAS-machtiging (voor inbellen of VPN) is voor alle gebruikersaccounts ingesteld op Toegang beheren via RAS-beleid.

De netwerkbeheerder wil dat alle draadloze IEEE 802.11-clients (leden van de groep DraadlozeClients) PEAP (Protected Extensible Authentication Protocol) gebruiken voor beveiligd-wachtwoordverificatie in het netwerk. PEAP gebruikt TLS (Transport Level Security) voor een gecodeerde end-to-end-verbinding (van EAP-client naar EAP-verificator) wanneer de identiteit van de verificator (meestal een IAS-server) is geverifieerd. De IAS-server verifieert zichzelf bij de client met een certificaat dat het doel van de serververificatie bevat in extensies voor uitgebreid sleutelgebruik.

Aangezien PEAP wordt gebruikt met EAP-MS-CHAPv2 als verificatietype, wordt gebruikersverificatie uitgevoerd met op wachtwoord gebaseerde referenties die door de gebruiker worden opgegeven. PEAP met EAP-MS-CHAPv2, ofwel PEAP-EAP-MS-CHAPv2, maakt het gebruik van certificaten voor verificatie van clientcomputers en gebruikers op draadloze clients overbodig.

Zie Verificatie voor netwerktoegang en certificaten voor meer informatie.

Opmerking

  • U kunt PEAP ook gebruiken met EAP-TLS (ofwel PEAP-EAP-TLS), een combinatie die een krachtige beveiliging biedt. PEAP-EAP-TLS gebruikt een openbare-sleutelinfrastructuur met certificaten voor de verificatie van de server, en smartcards of certificaten voor de verificatie van gebruikers en clientcomputers. Wanneer u met PEAP-EAP-TLS werkt, worden de gegevens van het clientcertificaat gecodeerd en is de beveiliging beter dan bij EAP-TLS zonder PEAP.

Nadat de RAS-machtiging voor alle gebruikersaccounts is ingesteld, voert de beheerder de volgende stappen uit:

  1. Maak met de wizard Nieuw RAS-beleid een gemeenschappelijk draadloos beleid met de volgende instellingen:
    • Beleidsnaam: Draadloze toegang
    • Toegangsmethode: Draadloze toegang
    • Gebruiker of groep: Selecteer Groep en geef vervolgens de groep DraadlozeClients op (voorbeeld).
    • Verificatiemethoden: Selecteer PEAP (Protected Extensible Authentication Protocol).
    • Beleidscoderingsniveau: Schakel het selectievakje Sterkst mogelijke codering (MPPE 128-bits) in en schakel alle andere selectievakjes uit.
  2. Verwijder het standaardbeleid.
    Zie RAS-beleid verwijderen voor meer informatie.

Als u PEAP selecteert als verificatiemethode, wordt standaard het verificatietype EAP-MS-CHAPv2 gebruikt. De volgende standaardwaarden zijn van toepassing:

  • Aantal pogingen tot verificatie: 0
  • Client mag wachtwoord wijzigen (niet geselecteerd)

Als u deze instellingen wilt wijzigen, voert u de stappen uit die zijn beschreven in PEAP- en EAP-methoden configureren.

Opmerkingen

  • Hoewel het werken met certificaten voor de verificatie van gebruikers en clientcomputers lastiger is dan het gebruik van PEAP met EAP-MS-CHAPv2, bieden certificaten meer veiligheid en is PEAP met EAP-TLS in combinatie met smartcards of certificaten de aanbevolen verificatiemethode voor draadloze clients.
  • U kunt het beleid voor draadloze verbindingen zodanig configureren dat draadloze clients periodiek opnieuw worden geverifieerd. Hierdoor worden de WEP-coderingssleutels (Wired Equivalent Privacy) van de client vaak genoeg gewijzigd om adequate beveiliging van de draadloze verbinding te waarborgen. Als u een vernieuwde verificatie wilt configureren, stelt u de time-out voor sessies in het RAS-beleid of in het beleid voor verbindingsaanvragen voor draadloze verbindingen (met behulp van het kenmerk Session-Timeout) in op het gewenste interval (bijvoorbeeld 10 minuten). Stel verder Waarde van het kenmerk voor het kenmerk Termination-Action in op RADIUS-Request. Als het kenmerk Termination-Action niet is ingesteld op RADIUS-Request, wordt de verbinding tijdens de vernieuwde verificatie mogelijk beëindigd door draadloze toegangspunten. Raadpleeg de documentatie bij de hardware voor meer informatie.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft