Aprenda três métodos diferentes de configuração de um perfil de rede sem fio de bootstrap.
Resumo
Os computadores cliente sem fio executando o Microsoft® Windows Vista™ podem usar um perfil sem fio temporário para obter conectividade com uma rede sem fio segura e ingressar no domínio do Active Directory. Esse perfil sem fio temporário, conhecido como perfil sem fio de bootstrap, requer que o usuário que está se conectando especifique manualmente suas credenciais da conta de usuário do domínio e não valida o certificado do servidor RADIUS. Após ingressar no domínio, o cliente sem fio usa um novo perfil sem fio que aproveita automaticamente as credenciais do computador e a conta de usuário e valida as credenciais do servidor RADIUS. Este artigo descreve três métodos de configuração de um perfil de rede sem fio de bootstrap.
Introdução
Os clientes sem fio necessitam de credenciais de domínio (nome/senha) ou de um certificado para fazer a autenticação e obter acesso sem fio seguro. Para ingressar no domínio e receber suas credenciais ou seus certificados, os computadores cliente sem fio precisam de uma conexão ativa com a rede sem fio que contém os controladores do domínio. Para acessar uma rede sem fio segura e ingressar um computador em um domínio, o usuário do cliente sem fio deve fornecer manualmente o nome de usuário e a senha do domínio. Uma vez conectado à rede sem fio, o usuário do cliente sem fio poderá ingressar o computador no domínio.
Em redes sem fio autenticadas pelo 802.1X, os clientes sem fio precisam fornecer credenciais de segurança que são autenticadas por um servidor RADIUS. Essas credenciais podem incluir um nome de usuário e uma senha (para EAP protegido [PEAP]-Microsoft Challenge Handshake Authentication Protocol versão 2 [MS-CHAP v2]) ou certificados (para EAP-Transport Layer Security [TLS]). Tanto para o PEAP-MS-CHAP v2 quanto para o EAP-TLS, o cliente sem fio também valida um certificado de computador enviado pelo servidor RADIUS durante o processo de autenticação. Esse é o comportamento padrão do cliente Windows sem fio. Esse comportamento pode ser desabilitado, mas isso não é recomendável em ambientes de produção.
Se o servidor RADIUS estiver usando certificados de computador de uma PKI (infra-estrutura de chave pública) comercial, como da VeriSign, Inc., e o certificado da autoridade de certificação raiz para o certificado de computador do servidor RADIUS já estiver instalado no cliente sem fio, esse cliente poderá validar o certificado de computador do servidor RADIUS, independentemente de o cliente sem fio ter ingressado no domínio do Active Directory.
Se o servidor RADIUS estiver usando certificados de computador de uma PKI privada integrada ao Active Directory (por exemplo, um certificado baseado nos Serviços de Certificados do Windows Server® 2003), um cliente sem fio que ainda não tenha ingressado no domínio não terá o certificado da autoridade de certificação raiz do certificado de computador do servidor RADIUS, e o processo de autenticação, por padrão, não terá êxito. Depois que o cliente sem fio ingressar no domínio, o certificado da autoridade de certificação raiz do certificado de computador do servidor RADIUS será instalado automaticamente.
Este artigo descreve métodos de configuração de clientes sem fio baseados no Windows Vista com um perfil sem fio capaz de executar a autenticação manual com o PEAP-MS-CHAP v2, mas não de validar o certificado de computador do servidor RADIUS. Depois de se conectar à rede sem fio, o computador cliente sem fio ingressa no domínio e recebe o certificado da autoridade de certificação raiz apropriado. O usuário do computador (manualmente) ou o administrador de TI (por meio da Diretiva de Grupo) pode reconfigurar o perfil sem fio para que a autenticação com o PEAP-MS-CHAP v2 valide o certificado de computador do servidor RADIUS e utilize as credenciais do domínio automaticamente.
Métodos para ingressar um cliente sem fio em um domínio
Esta seção descreve os seguintes métodos para ingressar um cliente sem fio em um domínio:
· A equipe de TI ingressa um computador sem fio no domínio e configura um perfil sem fio de bootstrap com Logon Único
· O usuário configura o computador sem fio com um perfil sem fio de bootstrap usando um arquivo XML e ingressa no domínio
· O usuário configura manualmente o computador sem fio com um perfil sem fio de bootstrap e ingressa no domínio
A equipe de TI ingressa o computador sem fio no domínio e configura um perfil sem fio de bootstrap com Logon Único
Nesse método, um administrador de TI ingressa o computador sem fio no domínio antes que ele seja entregue ao usuário. Quando o usuário inicia o computador, as credenciais especificadas manualmente para o logon do usuário são usadas para estabelecer uma conexão com a rede sem fio e para fazer logon no domínio.
A seguir estão as etapas desse método:
1. Um administrador de TI ingressa o novo computador sem fio no domínio (por exemplo, por meio de uma conexão Ethernet que não necessite da autenticação IEEE 802.1X) e adiciona um perfil sem fio de bootstrap ao computador com as seguintes configurações:
· Autenticação com PEAP-MS-CHAP v2
· Validação do certificado do servidor RADIUS desabilitada
· Logon Único habilitado
O Logon Único é um novo recurso dos clientes sem fio do Windows Vista que faz a autenticação 802.1X com base na configuração de segurança da rede durante o processo de logon do usuário. Para esse perfil sem fio de bootstrap, o administrador de TI especifica que o Logon Único deve fazer a autenticação 802.1X pouco antes do logon do usuário.
2. O administrador de TI entrega o novo computador sem fio ao usuário.
3. Quando o usuário inicia o computador, o Windows Vista solicita que ele digite seu nome de usuário e sua senha da conta do domínio. Como o Logon Único está habilitado, o computador usa as credenciais da conta de usuário do domínio para primeiro estabelecer uma conexão com a rede sem fio e, depois, fazer logon no domínio.
O Logon Único é necessário para esse perfil sem fio de bootstrap porque, embora o computador tenha ingressado no domínio, o usuário nunca fez logon no computador. Se o computador não estiver conectado a uma rede quando o usuário tentar fazer logon pela primeira vez, o logon falhará, porque o computador não conseguirá verificar as credenciais da conta do usuário em um controlador de domínio. Portanto, a conexão de rede deve ser estabelecida primeiro. O Logon Único usa as mesmas credenciais de conta de usuário para estabelecer uma conexão sem fio e fazer logon no domínio. Depois que o usuário tiver feito logon com êxito, os logons subseqüentes poderão utilizar credenciais armazenadas em cache.
O usuário configura o computador sem fio com um perfil sem fio de bootstrap usando um arquivo XML e ingressa no domínio
Nesse método, o usuário configura o computador sem fio com um perfil sem fio de bootstrap usando um arquivo e um script XML que tenham sido configurados por um administrador de TI. O perfil sem fio de bootstrap configurado pelo arquivo XML permite que o usuário estabeleça uma conexão sem fio e ingresse no domínio.
A seguir estão as etapas desse método:
1. Um administrador de TI configura outro computador sem fio baseado no Windows Vista com um perfil sem fio de bootstrap que use a autenticação do PEAP-MS-CHAP v2 com a validação do certificado do servidor RADIUS desabilitada.
2. O administrador de TI extrai o perfil sem fio de bootstrap para um arquivo XML com o comando netsh wlan export profile (consulte o "Apêndice A: Configurando um perfil sem fio de bootstrap", neste artigo) e cria um arquivo de script a ser executado para adicionar automaticamente o perfil ao computador do usuário.
3. O administrador de TI entrega o novo computador sem fio, o arquivo XML contendo o perfil sem fio de bootstrap e o arquivo de script ao usuário utilizando um método apropriado. O arquivo de script contém o comando netsh wlan add profile Nome_do_Arquivo_XML Nome_da_Conexão.
Por exemplo, o arquivo XML contendo um script a ser executado pelo usuário a fim de adicionar o perfil sem fio de bootstrap pode ser armazenado em uma unidade flash USB.
4. O usuário inicia o computador e faz logon usando uma conta de computador local.
5. O usuário executa o arquivo de script para adicionar o perfil sem fio de bootstrap.
6. Depois da execução do script, o Windows Vista tenta se conectar à rede sem fio. Como as configurações do perfil sem fio de bootstrap especificam que o usuário deve fornecer credenciais, o Windows Vista solicita ao usuário um nome e uma senha para a conta.
7. O usuário digita o nome e a senha da conta do domínio, e o computador cliente do Windows Vista conecta-se à rede sem fio.
8. O usuário ingressa no domínio do Active Directory. Para obter mais informações, consulte o "Apêndice B: Ingressando um cliente do Windows Vista em um domínio", neste artigo.
O usuário configura manualmente o computador sem fio com um perfil sem fio de bootstrap e ingressa no domínio
Nesse método, o usuário configura manualmente o computador sem fio com um perfil sem fio de bootstrap com base nas instruções do administrador de TI. O perfil sem fio de bootstrap permite que o usuário estabeleça uma conexão sem fio e ingresse no domínio.
A seguir estão as etapas desse método:
1. O administrador de TI fornece ao usuário as instruções de configuração de um perfil sem fio de bootstrap que use a autenticação do PEAP-MS-CHAP v2 com a validação do certificado do servidor RADIUS desabilitada.
2. O usuário inicia o computador e faz logon usando uma conta de computador local.
3. O usuário executa as etapas das instruções para configurar o perfil sem fio de bootstrap (consulte o "Apêndice A: Configurando um perfil sem fio de bootstrap", neste artigo).
4. Depois da configuração do perfil sem fio de bootstrap, o Windows Vista tenta se conectar à rede sem fio. Como as configurações do perfil sem fio de bootstrap especificam que o usuário deve fornecer credenciais, o Windows Vista solicita ao usuário um nome e uma senha para a conta.
5. O usuário digita o nome e a senha da conta do domínio, e o computador cliente do Windows Vista conecta-se à rede sem fio.
6. O usuário ingressa no domínio do Active Directory. Para obter mais informações, consulte o "Apêndice B: Ingressando um cliente do Windows Vista em um domínio", neste artigo.
Apêndice A: Configurando um perfil sem fio de bootstrap
Para configurar um perfil sem fio de bootstrap, execute os procedimentos a seguir:
1. Na caixa de diálogo Conectar-se a uma rede, clique em I don't see what I want to connect to (Não encontro a conexão que desejo). É possível acessar a caixa de diálogo Conectar-se a uma rede de vários locais do Windows Vista, incluindo os seguintes:
· Pelo ícone de conexão sem fio da área de notificação da área de trabalho
· Pelo link Conectar/desconectar redes sem fio na opção Conexões de Rede do Painel de Controle
· Pelo menu de contexto de um adaptador de rede sem fio na opção Conexões de Rede do Painel de Controle
2. Na página Escolher uma opção de conexão, clique em Configurar uma rede.
3. Na página Digite as informações da rede sem fio que deseja adicionar, configure o seguinte:
· Nome da rede Digite o nome da rede sem fio.
· Tipo de segurança Selecione o método usado para autenticar uma conexão com a rede sem fio (WEP (802.1x), WPA-Enterprise ou WPA2-Enterprise).
· Tipo de criptografia Selecione o método usado para criptografar quadros de dados enviados pela rede sem fio (WEP, TKIP ou AES).
4. Clique em Avançar.
5. Clique em Alterar configurações de conexão.
6. Clique na guia Segurança e selecione o método EAP Protegido (PEAP) em Escolha um método de autenticação de rede. Clique em Configurações.
7. Na caixa de diálogo Propriedades de EAP Protegido (PEAP), desmarque a caixa de seleção Validar certificado do servidor.
8. Clique em OK duas vezes e clique em Fechar.
Para exportar as configurações desse perfil sem fio de bootstrap para um arquivo XML, digite o seguinte comando:
netsh wlan export profile Nome_do_Arquivo_XML Nome_do_Perfil Nome_da_Conexão
· Nome_do_Arquivo_XML é o nome do arquivo XML que armazenará as configurações do perfil sem fio.
· Nome_do_Perfil é o nome do perfil sem fio sendo exportado.
· Nome_da_Conexão é o nome do adaptador sem fio para o qual o perfil sem fio foi configurado.
Apêndice B: Ingressando um cliente do Windows Vista em um domínio
Depois de conectar-se com êxito à rede sem fio segura, use a opção Sistema no Painel de Controle para fazer o seguinte:
1. Em Nome do computador, domínio e configurações de grupo de trabalho, clique em Alterar configurações.
2. Na caixa de diálogo Propriedades do Sistema, clique em Alterar.
3. Na caixa de diálogo Alterações de Nome do Computador, digite o nome do computador em Nome do computador. Clique em Domínio e digite o nome do domínio do Active Directory.
4. Clique em OK.
5. Quando solicitado, digite o nome e a senha do domínio para ingressar o computador no domínio.
6. Reinicie o computador quando solicitado.
Quando o computador é reiniciado, ele faz a autenticação na rede sem fio automaticamente usando as credenciais ou o certificado da conta do domínio do computador.
