• Artigo

The Cable GuyLogon sem fio único

Joseph Davies

As conexões sem fio já estabelecidas e que precisam de autenticação em uma rede privada podem acrescentar uma camada extra de desafio tanto para o usuário quanto para o administrador. Um cliente sem fio baseado no Windows, sendo membro de um domínio Active Directory, deve realizar uma autenticação com base no padrão IEEE 802.1X para obter uma

conexão sem fio protegida e um logon do domínio. Como a autenticação pode envolver credenciais de usuário ou do computador e os logons do domínio dependem da conectividade de rede, os problemas surgem durante a configuração da ordem na qual as autenticações serão realizadas e durante a especificação das credenciais a serem usadas. Tudo isso pode ter impacto sobre os logons do domínio e fazer com que sejam solicitadas as credenciais de um usuário várias vezes.

Felizmente, o logon sem fio único no Windows Vista® permite que você especifique que a autenticação IEEE 802.1X para Wi-Fi Protected Access 2 (WPA2)-Enterprise, WPA-Enterprise e a autenticação 802.1X com Wireless Equivalency Privacy (WEP) ocorram antes do processo de logon do usuário. Isso permite que você resolva problemas de logon do domínio em configurações específicas. O logon único sem fio integra diretamente a autenticação sem fio à experiência de logon do Windows®, o que resulta em usuários mais felizes no geral. Por essas razões, pretendo abordar neste mês os recursos do logon único sem fio, como configurá-lo e como ele funciona durante o processo de logon do usuário.

Informações gerais do logon único

Um cliente sem fio do Windows pode realizar a autenticação na rede sem fio usando apenas as credenciais do computador ou do usuário, ou uma combinação de ambos. Quando usa apenas as credenciais do computador, o Windows realiza a autenticação 802.1X antes de exibir a tela de logon do Windows. Isso dá ao computador cliente sem fio um acesso prévio a recursos de rede como, por exemplo, controladores de domínio do Active Directory®.

Quando usa apenas as credenciais do usuário, o Windows sem logon único realiza a autenticação 802.1X após a conclusão do processo de logon. A Figura 1 mostra a inicialização e a linha do tempo de logon nesse cenário.

Figura 1 Linha do tempo durante o uso apenas das credenciais do usuário para autenticação sem fio

Figura 1** Linha do tempo durante o uso apenas das credenciais do usuário para autenticação sem fio **(Clique na imagem para aumentar a exibição)

As conseqüências de usar apenas as credenciais do usuário para autenticação sem fio são de que um usuário não consegue fazer um logon do domínio inicial em um computador porque não há credenciais armazenadas localmente em cache para a conta em questão e não existe nenhuma conectividade com o controlador de domínio para autenticar novas credenciais de logon. Além disso, haverá falha em algumas operações de logon do domínio porque não há nenhuma conectividade com os controladores de domínio do Active Directory no momento. Haverá falha em scripts de logon, em atualizações da Diretiva de Grupo e do perfil de usuário, o que resulta em erros no log de eventos do Windows.

Quando usa uma combinação de credenciais do usuário e do computador, o Windows realiza uma autenticação 802.1X usando as credenciais do computador antes de exibir a tela de logon do Windows. Após o logon do usuário, o Windows realiza outra autenticação 802.1X usando as credenciais do usuário. Algumas infra-estruturas de rede usam LANs virtuais (VLANs) diferentes para computadores autenticados com credenciais do computador e para computadores que usam credenciais do usuário. Se a autenticação na rede sem fio que está usando credenciais do usuário e a opção para a VLAN autenticada por usuário ocorrerem depois do processo de logon do usuário, o cliente sem fio do Windows não terá acesso a recursos de rede na VLAN autenticada por usuário como, por exemplo, controladores de domínio do Active Directory, durante o processo de logon do usuário. Mais uma vez, isso acarreta falha nas operações de logon do domínio.

Outro problema ocorre quando a autenticação sem fio com credenciais do usuário utiliza um conjunto diferente de credenciais de segurança em relação às credenciais de logon do usuário. Para essas configurações, o Windows solicita credenciais de usuário adicionais quando a autenticação sem fio começa, o que pode ser confuso.

O recurso de logon único do Windows Vista foi desenvolvido para resolver os problemas dos logons de domínio, VLANs separadas autenticadas por computador e por usuário, além de solicitar ao usuário credenciais diferentes em momentos distintos. Com o logon único, os administradores de rede podem especificar se a autenticação sem fio com credenciais do usuário ocorre antes do processo de logon. Quando as credenciais do usuário são necessárias ao logon do usuário e à autenticação sem fio são diferentes, todas as credenciais obrigatórias são solicitadas e obtidas na tela de logon do Windows.

Com o logon único, um cliente sem fio do Windows Vista pode ser configurado para realizar a autenticação na rede sem fio usando as credenciais do usuário antes do processo de logon. A Figura 2 mostra a nova inicialização e a linha do tempo de logon.

Figura 2 Linha do tempo quando a autenticação na rede usando credenciais do usuário ocorre antes do logon do usuário

Figura 2** Linha do tempo quando a autenticação na rede usando credenciais do usuário ocorre antes do logon do usuário **(Clique na imagem para aumentar a exibição)

Isso possibilita configurações que usem apenas as credenciais do usuário ou uma combinação das credenciais do usuário e do computador com VLANs separadas sem que haja perda de funcionalidade. Como o cliente sem fio tem conectividade de rede ou conectividade com a VLAN autenticada por usuário antes do início do processo de logon do usuário, as operações de logon do domínio podem ser concluídas com êxito. Por exemplo, consulte "Adicionando um cliente sem fio do Windows Vista a um domínio" em microsoft.com/technet/network/wifi/vista_bootstrap_wireless.mspx.

Com base na configuração do perfil sem fio, o logon único consolida os campos de entrada para as credenciais do usuário da autenticação sem fio e os adiciona à tela de logon do Windows. Por isso, todas as credenciais do usuário para logon e autenticação sem fio que usam credenciais do usuário são fornecidas por ele simultaneamente.

Os métodos do protocolo EAP (Extensible Authentication Protocol) escritos para a nova arquitetura EAPHost no Windows Vista podem usar a API de suporte a EAP Pre-Logon Authentication Provider (PLAP) para incluir os campos de entrada necessários à autenticação na tela de logon do Windows. Para obter mais informações, consulte API SSO e PLAP em msdn2.microsoft.com/bb530584.

Como exemplo de uma sessão de logon único, considere um cliente sem fio do Windows Vista configurado para realizar a autenticação usando apenas as credenciais do usuário, além de um nome de usuário e senha, tanto para o logon do domínio quanto para a autenticação 802.1X. Quando o usuário pressiona Ctrl+Alt+Del na tela inicial do Windows Vista, o logon único determina que a autenticação 802.1X deve ocorrer antes do logon do usuário. Quando o usuário digita seu nome e senha, o logon único realiza primeiramente a autenticação na rede sem fio baseada no usuário e, em seguida, exibe uma mensagem indicando estar se conectando à rede sem fio pelo nome. Após a autenticação sem fio, o Windows Vista realiza o logon do usuário e exibe a área de trabalho.

Configurando o logon único

Nos bastidores

Para acrescentar algo ao que você sabe sobre o processo de autenticação sem fio, vejamos mais detalhadamente o que acontece quando o usuário tenta fazer logon ativamente. Quando um usuário pressiona Ctrl+Alt+Del para logon em um cliente sem fio que esteja executando o Windows Vista, as seguintes etapas são executadas:

  1. A Configuração Automática sem Fio determina o perfil de rede sem fio a ser usado. Caso o cliente sem fio já tenha realizado a autenticação com êxito usando as credenciais do computador, é usado o perfil de rede sem fio conectado atualmente. Caso o perfil sem fio esteja configurado para realizar a autenticação apenas com credenciais do computador, nenhuma autenticação sem fio adicional com credenciais do usuário é necessária. As etapas de 2 a 6 pressupõem que o perfil sem fio selecionado esteja configurado para realizar a autenticação com credenciais do usuário, tenha o logon único habilitado e que a configuração Executar logo após o logon do usuário esteja selecionada.
  2. O usuário digita suas credenciais para o logon e a autenticação sem fio (se necessário) e inicia o logon do usuário.
  3. O Windows exibe uma mensagem para o usuário informando estar tentando se conectar ao nome da rede sem fio.
  4. O Windows tenta realizar uma autenticação na rede usando as credenciais do usuário. Caso as caixas de diálogo adicionais Permitir a serem exibidas durante a configuração do logon único estejam habilitadas e o tipo de EAP precise exibi-las ao usuário, o Windows exibe essas caixas de diálogo. Caso não ocorra com êxito durante o atraso máximo da conectividade (em segundos), a autenticação sem fio é abandonada. Caso a configuração Esta rede usa VLANs diferentes para autenticação com credenciais de máquina e de usuário esteja selecionada, o Windows realiza uma renovação DHCP da configuração do endereço IP do adaptador de rede sem fio quando a autenticação sem fio é bem-sucedida.
  5. O Windows realiza o processo de logon do usuário.
  6. O Windows exibe a área de trabalho.

Caso a configuração Executar logo após o logon do usuário esteja selecionada, o Windows executa as etapas na seguinte ordem: 1, 2, 5, 3, 4, 6.

Para habilitar e configurar o logon único, você pode usar a extensão da Diretiva de Grupo Diretivas da Rede sem Fio (IEEE 802.11) e definir as configurações de segurança avançadas para um perfil sem fio de uma diretiva do Windows Vista. Para obter mais informações sobre isso, consulte "Configurações da Diretiva de Grupo sem fio para Windows Vista" em technetmagazine.com/issues/2007/04/CableGuy.

Na caixa de diálogo Configurações de Segurança Avançadas, selecione Habilitar Logon Único para a rede e configure as opções do logon único conforme necessário. A Figura 3 mostra um exemplo do logon único habilitado com as configurações padrão.

Figura 3 Configurações padrão do logon único

Figura 3** Configurações padrão do logon único **

Há configurações de logon único para realizar a autenticação sem fio 802.1X antes ou logo após o processo de logon do usuário e especificar a espera pela autenticação 802.1X a ser concluída antes do início do processo de logon do usuário. Também é possível indicar se caixas de diálogo devem ser exibidas além da consolidação dos campos de entrada na tela de logon do Windows. Por exemplo, caso um tipo de EAP queira que o usuário confirme o certificado enviado do serviço RADIUS (Remote Authentication Dial-in User Service) durante a autenticação, o tipo de EAP pode exibir a caixa de diálogo.

Também é possível especificar se o cliente sem fio deve iniciar uma renovação do protocolo DHCP (Dynamic Host Configuration Protocol) da configuração TCP/IP do adaptador sem fio após a realização da autenticação baseada no usuário. Selecione essa opção caso haja VLANs separadas para clientes sem fio autenticados baseados no computador e no usuário e essas VLANs sejam sub-redes IPv4 ou IPv6 diferentes.

Depois de criar o perfil sem fio que contém as configurações de logon único dentro da diretiva, você também pode configurar clientes sem fio do Windows Vista exportando o perfil como um arquivo XML e importando este perfil XML nos clientes sem fio do Windows Vista.

Para criar um perfil sem fio XML de logon único, crie um perfil sem fio com as configurações de logon único apropriadas. Na guia Geral da diretiva sem fio do Windows Vista, clique no perfil sem fio com as configurações de logon único e clique em Exportar. Quando solicitados, especifique o nome do arquivo XML e seu local.

Para usar o perfil XML de logon único na configuração de outro cliente sem fio do Windows Vista, importe o perfil XML usando o comando:

netsh wlan add profile filename=
    "[FileName].xml"

Para determinar se um perfil sem fio tem o logon único habilitado, use:

netsh wlan show profile=[ProfileName]

As configurações de logon único estão listadas na seção "Configurações de segurança" do comando netsh wlan show profile e no texto dos eventos de conexão sem fio no log de eventos do Windows. Também é possível usar o snap-in Visualizar eventos para visualizar os eventos na pasta Microsoft\Windows\WLAN-AutoConfig dos logs Aplicativos e Serviços de origem "WLAN-AutoConfig" e identificações de evento 13001, 13002, 13003 e 13004.

Você encontrará mais informações na página Rede sem fio em microsoft.com/wifi. E consulte a barra lateral "Nos bastidores" para obter mais detalhes sobre o processo de logon único.

Joseph Davies é redator técnico da Microsoft, ensina e escreve sobre assuntos relacionados a sistemas de rede do Windows desde 1992. Ele tem cinco livros publicados pela Microsoft Press e é autor da coluna mensal da TechNet Magazine, The Cable Guy.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..