Como migrar para o protegido protocolo EAP (PEAP)

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 822057
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Sumário
Este artigo contém uma visão geral sobre of Protected Extensible Authentication Protocol (PEAP), também conhecido como EAP-MSCHAPv2. Este artigo também descreve como migrar de estendido autenticação protocolo LEAP (Lightweight) ao PEAP em seu ambiente sem fio.

Observação LEAP também é conhecido como EAP-Cisco.
Mais Informações
O PEAP cria um encapsulamento de Secure Sockets Layer/Transport Layer Security (SSL/TLS) criptografado entre o cliente e o servidor de autenticação que ajuda a proteger a autenticação do usuário. PEAP também é definido como um método de autenticação extensível que pode adotar novos esquemas de autenticação EAP medida que eles se tornam disponíveis. Microsoft Windows PEAP oferece suporte a senhas e autenticação de certificado, e também permite que qualquer método com base no EAP que é fornecido por parceiros da Microsoft software a ser usado no PEAP.

PEAP ajuda a aumentar sua proteção contra a implantação de pontos de acesso não autorizado, porque o cliente verifica a identidade do servidor de autenticação antes de concluir a autenticação ou continua conectividade. O ponto de acesso não é possível descriptografar as mensagens de autenticação que são criptografadas pelo PEAP.

Remote Authentication Dial-In User Service (RADIUS) é um protocolo usado com freqüência que fornece autenticação centralizada, autorização e estatísticas para acesso à rede sem fio, rede virtual privada (VPN) e dial-up. (IAS) é o produto de servidor RADIUS da Microsoft. Microsoft Windows 2000 Server e Windows Server 2003 oferecem suporte PEAP com autenticação de senha (EAP-MSCHAPv2).

Um servidor de proxy RADIUS IAS do Windows Server 2003 pode detectar a diferença entre os clientes que usam LEAP e aqueles que usam o PEAP; em seguida, encaminha a autenticação para um servidor RADIUS compatível com o LEAP (por exemplo, um servidor de controle de acesso Cisco [ACS]) e um servidor IAS, respectivamente. O proxy RADIUS não precisa residir em um computador separado do servidor IAS.

Use as diretrizes a seguir para configurar o cliente sem fio e o ponto de acesso para que o proxy RADIUS pode detectar a diferença entre o LEAP e os protocolos PEAP:
  • Implante pontos de acesso sem fio separado (APs) para cada protocolo. Use um AP para LEAP e o outro ponto de acesso para PEAP. Configure o servidor IAS para encaminhar a autenticação para o ACS Cisco, com base no conteúdo de NAS-IP-Address ou NAS-Identifier. Por exemplo, o IAS pode ter duas diretivas de solicitação de conexão:
    1. A primeira diretiva de solicitação de conexão corresponde ao AP LEAP e se baseia na condição NAS-IP-ADDRESS (endereço IP do AP LEAP) ou em condição NAS-Identifier. Configure esta diretiva para encaminhar as solicitações a um grupo remoto radius . Você deve criar um grupo remoto radius e, neste exemplo, nomeie o grupo “ LEAP servidores ”. Adicione os servidores ACS ao grupo LEAP servidores radius. Em servidores ACS, adicione o servidor IAS como um cliente radius com o mesmo segredo definido enquanto você cria o grupo de compartilhado.
    2. A segunda diretiva de solicitação de conexão corresponde ao AP PEAP e também se baseia na condição de IP-ADDRESS (endereço IP do AP PEAP) ou em condição NAS-Identifier. Nesta diretiva, ative a opção autenticar solicitações neste servidor . Na diretiva de acesso remoto, ative o protocolo PEAP e, em seguida, definir as condições para o seu ambiente.
  • Implantar pontos de acesso com mais de um conjunto de serviço SSID (identificador). Especificar LEAP em um SSID e PEAP em outro SSID. Configurar o servidor IAS para encaminhar a autenticação para o ACS Cisco, com base no conteúdo da Called-Station-ID do. Called-Station-ID irá conter o SSID, como no exemplo a seguir:
    1. A primeira diretiva de solicitação de conexão corresponde ao AP LEAP e é baseada na identificação da estação. Configure esta diretiva para encaminhar as solicitações para um grupo remoto radius. Você deve criar um grupo remoto radius e, neste exemplo, nomeie o grupo “ LEAP servidores ”. Adicione os servidores ACS ao grupo LEAP servidores radius. Em servidores ACS, adicione o servidor IAS como um cliente radius com o mesmo segredo definido enquanto você cria o grupo de compartilhado.
    2. A segunda diretiva de solicitação de conexão corresponde ao AP PEAP e é também baseada na identificação da estação chamada. Nesta diretiva, ative a opção autenticar solicitações neste servidor . Na diretiva de acesso remoto, ative o protocolo PEAP e, em seguida, definir as condições para o seu ambiente.
  • Os usuários que usam o LEAP serão digite um nome de usuário que especifica um território especiais. O território torna possível distinguir entre os clientes que usam LEAP e clientes que usam o PEAP. Encaminhe a autenticação, com base no conteúdo de nome de usuário. O nome de usuário irá conter o território. Configure o servidor IAS para remover o território antes de ele encaminha a autenticação para o servidor Cisco ACS. Por exemplo, você deve ter duas diretivas de solicitação de conexão:
    1. A diretiva de solicitação de conexão que corresponde ao usuários LEAP se baseia a condição de nome de usuário. Use uma definição é semelhante ao bissexto 1 definir a diretiva de solicitação de conexão. Essa definição corresponderá a qualquer nome de usuário que contém a “ salto ” como um prefixo. Na guia atributo dessa diretiva, adicione uma regra para substituir “ salto ” com “ ” (seqüência vazia). O valor de seqüência de caracteres vazia faz com que a diretiva para encaminhar o nome de usuário correto para o ACS. Configure esta diretiva para encaminhar as solicitações para os servidores ACS.
    2. A diretiva de solicitação de conexão segunda é mesma como na etapa um.

      Observação Qualquer condição pode ser usada na segunda diretiva; no entanto, esta diretiva deve estar listada após a diretiva LEAP.
  • Exigir que computador somente a autenticação ser usado para clientes PEAP. Configure o servidor IAS para encaminhar a autenticação para o ACS Cisco, com base no conteúdo de nome de usuário. O nome do computador sempre terminará com um caractere $. Os clientes devem ser configurados para forçar apenas autenticação de computador. Você deve configurar os clientes PEAP para usar autenticação do computador em vez da autenticação de cliente. Neste exemplo, a diretiva de solicitação de conexão é o seguinte:
    1. A primeira diretiva deve corresponder ao PEAP e se basear a condição de nome de usuário (por exemplo: * $ ). Configure esta diretiva para autenticar localmente.
    2. A segunda diretiva de solicitação de conexão pode ter qualquer critério, mas ele deve ser configurado para encaminhar para o ACS.
Os produtos de terceiros descritos neste artigo são fabricados por empresas que são independentes da Microsoft. A Microsoft não oferece garantia, implícita ou não, em relação ao desempenho ou à confiabilidade desses produtos.
Referências
Para obter mais informações sobre a implementação de PEAP da Microsoft, visite o seguinte site:Para obter mais informações sobre o RADIUS, visite o seguinte site: Para uma comparação de PEAP e LEAP para acesso à rede sem fio, visite o seguinte site da Microsoft:

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 822057 - Última Revisão: 12/08/2015 02:57:48 - Revisão: 3.5

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbnosurvey kbarchive kbmt kbremoting kbservercontrols kbsecurity kbserver kbnetwork kbclientserver kbclientprotocols kbclient kbinfo KB822057 KbMtpt
Comentários