Datenverschlüsselung und Authentifizierung einrichten
Verschlüsselung - Überblick
WEP-Verschlüsselung aktivieren
Aufgaben des Systemadministrators
Den Client für WEP- und MD5-Authentifizierung einrichten
Den Client für WPA-PSK mit WEP- oder TKIP-Authentifizierung einrichten
Den Client für WPA mit TKIP-Verschlüsselung und TLS-Authentifizierung einrichten
Den Client für WPA mit TKIP-Verschlüsselung und TTLS- oder PEAP-Authentifizierung einrichten
Den Client für CCX mit CKIP-Verschlüsselung und LEAP-Authentifizierung einrichten
WEP (Wired Equivalent Privacy - kabelvergleichbare Sicherheit)-Verschlüsselung und freigegebene Authentifizierung tragen zum Schutz der Daten im Netzwerk bei. WEP verwendet einen Verschlüsselungscode, um Daten vor ihrer Übertragung zu verschlüsseln. Nur Computer, die denselben Verschlüsselungscode verwenden, können auf das Netzwerk zugreifen oder von anderen Computern übertragene, verschlüsselte Daten entschlüsseln. Die Authentifizierung stellt einen zusätzlichen Validierungsvorgang vom Adapter zum Zugriffspunkt dar. Der WEP-Verschlüsselungsalgorithmus wird durch passive und aktive Angriffe über das Netzwerk gefährdet. Die TKIP- und CKIP-Algorithmen weisen Verbesserungen des WEP-Protokolls auf, die vorhandene Angriffe über das Netzwerk mildern und seine Schwächen konkret angehen.
802.11 unterstützt zwei Arten von Netzwerkauthentifizierungsmethoden: das offene System und den freigegebenen Schlüssel, der 64-Bit- und 128-Bit-WEP-Verschlüsselung verwendet. Die offene Authentifizierung verlangt für die Zuordnung zu einem bestimmten Zugriffspunkt keine verschlüsselte Authentifizierungsmethode. Es werden zwei Authentifizierungsmethoden unterstützt: Die offene Authentifizierung (Open Authentification) und die freigegebene Authentifizierung (Shared Authentification).
Bei aktivierter Datenverschlüsselung (WEP, CKIP oder TKIP) wird ein Netzwerkschlüssel zur Verschlüsselung verwendet. Ein Netzwerkschlüssel kann Ihnen automatisch bereitgestellt werden (z. B. als Teil des drahtlosen Netzwerkadapters, oder Sie können ihn selbst eingeben und die Schlüssellänge auf 64-Bit oder 128-Bit, das Schlüsselformat (ASCII-Zeichen oder hexadezimale Zeichen) und den Schlüsselindex (den Ablageort eines bestimmten Schlüssels) festlegen). Je länger der Schlüssel, desto sicherer ist er. Mit jeder bit-weisen Verlängerung des Schlüssels verdoppelt sich die Anzahl der möglichen Schlüssel.
In 802.11 kann eine drahtlose Arbeitsstation mit bis zu vier Schlüsseln konfiguriert werden (die Schlüsselindexwerte sind 1, 2, 3 und 4). Bei Übertragung einer verschlüsselten Nachricht über einen Zugriffspunkt oder eine drahtlose Station unter Verwendung eines Schlüssels, der in einem bestimmten Schlüsselindex gespeichert wurde, zeigt die übertragene Nachricht den Schlüsselindex an, der zur Verschlüsselung des Nachrichtentextes verwendet wurde. Der empfangende Zugriffspunkt oder die drahtlose Station kann dann diesen im Schlüsselindex gespeicherten Schlüssel abrufen und ihn zur Entschlüsselung des Nachrichtentextes verwenden.
802.1x verwendet zwei Verschlüsselungscodetypen: statisch und dynamisch. Statische Verschlüsselungscodes werden manuell geändert und sich eher gefährdet. Die MD5-Authentifizierung verwendet nur statische Verschlüsselungscodes. Dynmamische Verschlüsselungscodes werden in regelmäßigen Abständen automatisch erneuert. Dies gewährleistet eine erhöhte Sicherheit. Für dynamische Verschlüsselungscodes müssen Sie die 802.1x-Authentifizierungsmethoden wie TLS, TTLS, PEAP oder LEAP verwenden.
Hauptmerkmale der 802.1x-Authentifizierung
Zu den 802.1x-Authentifizierungsmethoden gehören Kennwortzertifikate und Smartcards (Plastik
karten, auf denen Daten gespeichert sind). 802.1x-Kennwortsychronisationsfunktion: Die Option "Windows-Anmeldung verwenden" im Dialogfeld "Anmeldeinformationen" für MD5, TLS, TTLS und LEAP ermöglicht die Synchronisation der 802.1x-Anmeldeinformationen mit Ihrem Windows-Benutzernamen und -Kennwort. Die 802.1x-Authentifizierungoption kann nur im Infrastrukturbetriebsmodus verwendet werden.
Die Sicherheit im WLAN kann ergänzt werden, indem Sie unter Einsatz des WEP (Wireless Encryption Protocol) die Datenverschlüsselung aktivieren. Sie können eine 64-Bit- oder 128-Bit-Verschlüsselung wählen. Darüber hinaus können die Daten mit einem Schlüssel verschlüsselt werden. Als weiterer Parameter bietet der sogenannte Schlüsselindex die Möglichkeit, mehrere Schlüssel für das betreffende Profil zu erstellen. Sie können jedoch immer nur jeweils einen Schlüssel verwenden. Zur zusätzlichen Sicherheit können Sie das Profil auch mit Kennwortschutz einrichten.
Der Kennsatz wird zur automatischen Einrichtung eines WEP-Schlüssels verwendet. Sie haben die Option, einen Kennsatz zu verwenden oder den WEP-Schlüssel manuell einzugeben. Der Kennsatz der 64-Bit-Verschlüsselung umfasst 5 Zeichen. Sie können entweder einen zufällig gewählten, sich einfach zu merkenden Kennsatz (wie zum Beispiel Acme1) eingeben oder Sie können 10 Hexadezimalzahlen für den WEP-Schlüssel eingeben, der dem Netzwerk entspricht, mit dem die Verbindung hergestellt werden soll. Bei der 128-Bit-Verschlüsselung ist der Kennsatz 13 Zeichen lang. Sie können als WEP-Schlüssel 26 Hexadezimalzeichen eingeben, um sich mit dem entsprechenden Netzwerk zu verbinden.
Hinweis: Die von Ihnen verwendeten Verschlüsselungstypen, Indexnummern und WEP-Schlüssel müssen mit denen der anderen Geräte auf Ihrem drahtlosen Netzwerk übereinstimmen.
Das folgende Beispiel zeigt Ihnen, wie Sie ein vorhandenes Profil bearbeiten und die WEP-Verschlüsselung anwenden.
Hinweis: Bitten Sie Ihren Systemadministrator um den WEP-Kennsatz oder Hex-Schlüssel, bevor Sie beginnen.
So aktivieren Sie WEP-Verschlüsselung:
- Kennsatz verwenden: Markieren Sie diese Option, um sie zu aktivieren. Geben Sie im Feld "Kennsatz" einen Text von bis zu 5 (bei der Verwendung von 64-Bit) oder 13 (bei der Verwendung von 128-Bit) alphanumerischen Zeichen (0-9, a-z oder A-Z) ein.
- Hex-Schlüssel verwenden: Markieren Sie diese Option, um sie zu aktivieren. Geben Sie im Hex-Schlüsselfeld bis zu 10 (bei der Verwendung von 64-Bit) oder 26 (bei der Verwendung von 128-Bit) alphanumerische Zeichen (0-9, A-F) ein.
![]() |
Hinweis: Die folgenden Informationen gelten für Systemadministratoren. Weitere Informationen finden Sie unter Administratorrechte und Benutzer mit eingeschränktem Zugriff. |
Wenn Sie keine Zertifikate für EAP-TLS oder EAP-TTLS haben, müssen Sie ein Client-Zertifikat anfordern, um die Authentifizierung zu ermöglichen. Wenden Sie sich dazu im Normalfall an den Netzwerkadministrator Ihres Systems, der Ihnen beim Erhalt eines Zertifikats für Ihr Netzwerk behilflich sein kann. Zertifikate können unter "Interneteinstellungen" verwaltet werden und entweder in Internet Explorer oder in der Windows Systemsteuerung aufgerufen werden. Verwenden Sie die Seite "Inhalt" der "Interneteinstellungen".
Windows XP und 2000: Bei Anforderung eines Client-Zertifikats sollten Sie von der Aktivierung der verstärkten Schutzoption für private Schlüssel absehen. Wenn Sie diese verstärkte Schutzoption für private Schlüssel aktivieren, müssen Sie bei jedem Einsatz des Zertifikats ein Zugriffskennwort für das Zertifikat eingeben. Wenn Sie den Service für TLS/TTLS-Authentifizierung konfigurieren, müssen Sie den verstärkten Schutz des Zertifikats durch private Schlüssel deaktivieren. Andernfalls schlägt die Authentifizierung durch den 802.1x-Service fehl, da kein angemeldeter Anwender vorhanden ist, dem das Dialogfeld mit der Eingabeaufforderung angezeigt werden kann.
Hinweise zu Smart Cards
Nach Installation einer Smart Card wird das Zertifikat automatisch auf Ihrem Computer installiert und kann aus dem persönlichen Zertifikatspeicher und aus dem Stammzertifikatspeicher ausgewählt werden.
Schritt 1: Ein Zertifikat erhalten
Für die TLS-Authentifizierung benötigen Sie für das Konto des angemeldeten Benutzers ein gültiges Client (Benutzer)-Zertifikat im lokalen Repository. Weiterhin benötigen Sie ein verifiziertes CA-Zertifikat im Stammspeicher.
Die folgenden Informationen zeigen zwei Arten, wie Sie ein Zertifikat erhalten:
Hinweis: Wenn dies das erste Zertifikat ist, das Sie anfordern, fragt die CA Sie, ob die CA ein verifiziertes CA-Zertifikat im Stammspeicher installieren soll. Das Dialogfeld zeigt nicht an, dass dies ein verifiziertes CA-Zertifikat ist, aber der Name des angezeigten Zertifikats ist der des Hosts der CA. Klicken Sie auf yes (Ja); Sie benötigen dieses Zertifikat für sowohl TLS als auch TTLS.
So konfigurieren Sie Profile, die WPA-Authentifizierung mit WEP- oder TKIP-Verschlüsselung mit TLS-Authentifizierung verwenden.
Schritt 2: Das von Intel(R) PROSet verwendete Zertifikat angeben
Hinweis: Fordern Sie ein Client-Zertifikat an und installieren es; siehe Schritt 1 oder wenden Sie sich an Ihren Systemadministrator.Markieren Sie das Kontrollkästchen Zwischenzertifikate zulassen, damit eine Reihe unbestimmter Zertifikate in die Serverzertifikataufstellung zwischen Serverzertifikat und angegebener CA mit aufgenommen werden. Wenn Sie dieses Feld nicht markieren, muss die angegebene CA das Serverzertifikat direkt ausstellen.
Geben Sie den Server-/Zertifikatnamen ein. Wenn Sie den Server-/Zertifikatnamen kennen, geben Sie diesen ein. Wählen Sie die zutreffende Option für eine perfekte Übereinstimmung mit dem Servernamen oder geben Sie den Domänenamen an.
Client-Zertifikat: Diese Option wählt ein Client-Zertifikat aus dem privaten Zertifikatspeicher des unter Windows angemeldeten Benutzers aus. Dieses Zertifikat wird zur Client-Authentifizierung verwendet. Klicken Sie auf die Schaltfläche Auswählen, um eine Liste der installierten Zertifikate zu öffnen.
Hinweis zu Zertifikaten: Die angegebene Identität muss mit dem Feld "Ausgestellt für" im Zertifikat übereinstimmen und sollte auf dem Authentifizierungsserver (d.h. dem RADIUS-Server) registriert sein, der von der authentifizierenden Partei verwendet wird. Ihr Zertifikat muss für den Authentifizierungsserver "gültig" sein. Diese Anforderung ist vom Authentifizierungsserver abhängig und bedeutet in der Regel, dass der Authentifizierungsserver den Aussteller Ihres Zertifikates als CA anerkennen muss. Sie sollten sich mit demselben Benutzernamen angemeldet haben, den Sie bei Installation des Zertifikats verwendeten.
So fügen Sie einem neuen Profil WEP- und MD5-Authentifizierung hinzu:
Hinweis: Bitten Sie Ihren Systemadministrator um Benutzernamen und Kennwort für den RADIUS-Servers, bevor Sie beginnen.
- Nach hergestellter Verbindung zur Eingabe der Anmeldeinformationen auffordern: Sie werden jedes Mal, wenn Sie sich beim Netzwerk anmelden, zur Eingabe des Benutzernamens und Kennworts aufgefordert.
- Windows-Anmeldung verwenden: Diese Option ermöglicht die Synchronisation der 802.1x-Anmeldeinformationen mit Ihrem Windows-Benutzernamen und -Kennwort. Vor der Netzwerkverbindung werden Sie auf dem Dialogfeld "Berechtigungsnachweise" zur Eingabe Ihrer Windows-Anmeldeberechtigungsnachweise aufgefordert.
- Benutzeranmeldeinformationen speichern: Melden Sie sich beim Netzwerk unter Verwendung Ihrer gespeicherten Anmeldeinformationen an. Klicken Sie auf Konfigurieren, um das Dialogfeld "Berechtigungsnachweise" zu öffnen. Geben Sie Namen, Domäne und Kennwort des Benutzerskontos ein, die Sie auf dem Authentifizierungsserver eingerichtet haben. Diese Anmeldeinformationen werden für zukünftige Verwendung mit dem 802.1x-Profil gespeichert. Der Benutzername und das Kennwort müssen nicht mit dem Benutzernamen und Kennwort identisch sein, die Sie für die Anmeldung bei Windows verwenden. Klicken Sie auf OK, um die Anmeldeinformationen zu speichern.
Hinweis: Wenn die Funktion "Windows-Anmeldung verwenden" grau unterlegt ist (nicht verfügbar), wurde die Funktion "Einzelanmeldung" nicht installiert. Informationen zur Installation der Funktion "Windows-Anmeldung verwenden" finden Sie unter Die Funktion "Einzelanmeldung" installieren und deinstallieren.
- Falls Sie unter Schritt 13 im Dialogfeld "Sicherheitseinstellungen" nicht die Option "Windows-Anmeldung verwenden" aktiviert und auch keine Benutzeranmeldeinformationen konfiguriert haben, wird das Dialogfeld "Anmeldeinformationen eingeben" eingeblendet, wenn Sie versuchen, mit diesem Profil eine Verbindung herzustellen. Geben Sie Ihren Windows-Benutzernamen und das Kennwort ein. Markieren Sie das Kontrollkästchen Benutzeranmeldeinformationen speichern, um die Berechtigungsweise zur zukünftigen Verwendung mit diesem 802.1x-Profil zu speichern.
Verwenden Sie den WPA-PSK-Modus (Wi-Fi Protected Access - Pre Shared Key oder geschützter Zugriff - vorab freigegebener Schlüssel), wenn kein Authentifizierungsserver verwendet wird. Dieser Modus verwendet das 802.1x-Authentifizierungsprotokoll nicht und kann mit WEP- oder TKIP-Datenverschlüsselung verwendet werden. WPA-PSK erfordert die Konfiguration eines PSK (vorab freigegebenen Schlüssels). Geben Sie einen Kennsatz oder 64 Hexadezimalzeichen für den vorab freigegebenen Schlüssel bis zu einer Länge von 256 Bits ein. Der Datenverschlüsselungscode wird aus dem PSK abgeleitet.
So konfigurieren Sie ein neues Profil für WEP- oder TKIP-Verschlüsselung mit WPA-PSK-Netzwerkauthentifizierung:
WPA (Wi-Fi Protected Access)-Modus arbeitet mit TLS, TTLS oder PEAP. Dieses 802.1x-Authentifizierungsprotokoll verwendet Datenverschlüsselungsoptionen; WEP oder TKIP. WPA (Wi-Fi Protected Access)-Modus arbeitet mit 802.1x-Authentifizierung. Der Datenverschlüsselungscode wird vom 802.1x-Schlüsselaustausch gesendet. Wi-Fi Protected Access verwendet zur verbesserten Datenverschlüsselung das TKIP (Temporal Key Integrity Protocol oder temporäres Schlüsselintegritätsprotokoll). TKIP bietet wichtige Datenverschlüsselungsverbesserungen einschließlich einer erneuten Schlüsseleingabemethode.
Geben Sie im Benutzernamensfeld einen Benutzernamen ein.
Wählen Sie den Zertifikataussteller aus der Liste aus. Wählen Sie "Alle verifizierten CA" als Standardeinstellung.
Markieren Sie das Kontrollkästchen Zwischenzertifikate zulassen, damit eine Reihe unbestimmter Zertifikate in die Serverzertifikataufstellung zwischen Serverzertifikat und angegebener CA mit aufgenommen werden. Wenn Sie dieses Feld nicht markieren, muss die angegebene CA das Serverzertifikat direkt ausstellen.
Geben Sie den Servernamen ein. Wenn Sie den Servernamen kennen, geben Sie diesen ein. Wählen Sie die zutreffende Option für eine perfekte Übereinstimmung mit dem Servernamen oder geben Sie den Domänenamen an.
Hinweis zu Zertifikaten: Die angegebene Identität muss mit dem Feld "Ausgestellt für" im Zertifikat übereinstimmen und sollte auf dem Authentifizierungsserver (d.h. dem RADIUS-Server) registriert sein, der von der authentifizierenden Partei verwendet wird. Ihr Zertifikat muss für den Authentifizierungsserver "gültig" sein. Diese Anforderung ist vom Authentifizierungsserver abhängig und bedeutet in der Regel, dass der Authentifizierungsserver den Aussteller Ihres Zertifikates als CA anerkennen muss. Sie sollten sich mit demselben Benutzernamen angemeldet haben, den Sie bei Installation des Zertifikats verwendeten.
TTLS-Authentifizierung: Diese Einstellungen definieren das Protokoll und die Berechtigungsnachweise, mit denen der Anwender authentifiziert wird. Unter TTLS verwendet der Client EAP-TLS zur Serverbestätigung und Einrichtung eines TLS-verschlüsselten Kanals zwischen Client und Server. Der Client kann zur Serverbestätigung über diesen verschlüsselten Kanal auch ein anderes Authentifizierungsprotokoll einsetzen, normalerweise wären dies kennwortbasierende Protokolle wie z. B. MD5 Challenger (Herausforderung). Die Herausforderungs- und Antwortpakete werden über einen verschlüsselten, nicht sichtbaren TLS-Kanal gesendet.
PEAP-Authentifizierung: PEAP-Einstellungen werden zur Authentifizierung des Client auf dem Authentifizierungsserver benötigt. Unter PEAP verwendet der Client EAP-TLS zur Serverbestätigung und Einrichtung eines TLS-verschlüsselten Kanals zwischen Client und Server. Der Client kann zur Serverbestätigung über diesen verschlüsselten Kanal auch ein anderes EAP-Verfahren einsetzen wie z. B. MSCHAP Version 2 (Microsoft Challenge Authentication Protocol). Die Herausforderungs- und Antwortpakete werden über einen verschlüsselten, nicht sichtbaren TLS-Kanal gesendet.
Das folgende Beispiel zeigt, wie Sie unter Einsatz von TTLS- oder PEAP-Authentifizierung WPA mit WEP- oder TKIP-Verschlüsselung verwenden.
Geben Sie den Servernamen ein..
- Wenn Sie den Servernamen kennen, geben Sie diesen ein.
- Wählen Sie die zutreffende Option für eine perfekte Übereinstimmung mit dem Servernamen oder geben Sie den Domänenamen an.
- Nach hergestellter Verbindung zur Eingabe der Anmeldeinformationen auffordern: Sie werden jedes Mal, wenn Sie sich beim Netzwerk anmelden, zur Eingabe des Benutzernamens und Kennworts aufgefordert.
- Windows-Anmeldung verwenden: Diese Option ermöglicht die Synchronisation der 802.1x-Anmeldeinformationen mit Ihrem Windows-Benutzernamen und -Kennwort. Vor der Netzwerkverbindung werden Sie auf dem Dialogfeld "Berechtigungsnachweise" zur Eingabe Ihrer Windows-Anmeldeberechtigungsnachweise aufgefordert.
- Benutzeranmeldeinformationen speichern: Markieren Sie dieses Feld, um Ihren Benutzernamen und Ihr Kennwort zur zukünftigen Verwendung mit einem 802.1x-Authentifizierungsprofil zu speichern. Klicken Sie auf Konfigurieren und geben Sie den Benutzernamen, die Domäne und das Kennwort ein. Geben Sie das Kennwort erneut im Textfeld "Kennwort bestätigen" ein und klicken Sie auf OK, um die Einstellungen zu speichern und das Dialogfeld zu schließen. Dieser Benutzername und diese Domäne müssen mit dem Benutzernamen und der Domäne übereinstimmen, die vor der Client-Authentifizierung vom Systemadministrator auf dem Authentifizierungsserver eingerichtet wurden. Achten Sie beim Benutzernamen auf Groß- und Kleinschreibung. Der Name gibt die Identität an, die der authentifizierenden Partei vom Authentifizierungsprotokoll auf dem TLS-Tunnel angegeben wird. Die Identität dieses Benutzers wird erst nach Bestätigung und Verbindung über den verschlüsselten Kanal in gesicherter Übertragung an den Server weitergeleitet. Benutzerkennwort erneut eingeben. Bei Bestätigung wird dasselbe Kennwort angezeigt, das im Kennwortfeld eingegeben wurde.
Hinweis: Wenn die Funktion "Windows-Anmeldung verwenden" grau unterlegt ist (nicht verfügbar), wurde die Funktion "Einzelanmeldung" nicht installiert. Informationen zur Installation der Funktion "Windows-Anmeldung verwenden" finden Sie unter Die Funktion "Einzelanmeldung" installieren und deinstallieren.
Hinweis zu Zertifikaten: Die angegebene Identität muss mit dem Feld "Ausgestellt für" im Zertifikat übereinstimmen und sollte auf dem Authentifizierungsserver (d.h. dem RADIUS-Server) registriert sein, der von der authentifizierenden Partei verwendet wird. Ihr Zertifikat muss für den Authentifizierungsserver "gültig" sein. Diese Anforderung ist vom Authentifizierungsserver abhängig und bedeutet in der Regel, dass der Authentifizierungsserver den Aussteller Ihres Zertifikates als CA anerkennen muss. Sie sollten sich mit demselben Benutzernamen angemeldet haben, den Sie bei Installation des Zertifikats verwendeten.
- Falls Sie unter Schritt 15 im Dialogfeld "Sicherheitseinstellungen" nicht die Option "Windows-Anmeldung verwenden" aktiviert und auch keine Benutzeranmeldeinformationen konfiguriert haben, wird das Dialogfeld "Anmeldeinformationen eingeben" eingeblendet, wenn Sie versuchen, mit diesem Profil eine Verbindung herzustellen. Geben Sie Ihren Windows-Benutzernamen und das Kennwort ein. Markieren Sie das Kontrollkästchen "Benutzeranmeldeinformationen speichern", um die Berechtigungsweise zur zukünftigen Verwendung mit diesem 802.1x-Profil zu speichern.
![]() |
Hinweis: Ein LEAP-Profil kann nur mit Intel(R) PROSet konfiguriert werden. |
Um die Verbindung mit einem bestimmten ESS- oder drahtlosen LAN-Netzwerk herstellen zu können, muss ein Intel(R) PROSet CCX (V 1.0) Profil konfiguriert werden. In diesen Profileinstellungen sind die LEAP-, CKIP- und Rogue AP-Erkennungseinstellungen enthalten.
So konfigurieren Sie ein Profil für CCX-Sicherheitseinstellungen:
- Nach hergestellter Verbindung zur Eingabe der Anmeldeinformationen auffordern: Markieren Sie dieses Kästchen, wenn Sie jedes Mal vor Herstellung einer Verbindung mit einem drahtlosen Netzwerk Ihren Benutzernamen und Ihr Kennwort eingeben möchten. Der Benutzername und das Kennwort müssen erstmalig vom Systemadministrator auf dem Authentifizierungsserver eingerichtet werden. Fahren Sie mit Schritt 13 fort.
- Windows-Anmeldung verwenden: Diese Option ermöglicht die Synchronisation der 802.1x-Anmeldeinformationen mit Ihrem Windows-Benutzernamen und -Kennwort. Weder Benutzername noch Kennwort sind erforderlich. Fahren Sie mit Schritt 13 fort.
- Benutzeranmeldeinformationen speichern: Markieren Sie dieses Kontrollkästchen, um Ihren Benutzernamen und Ihr Kennwort zur zukünftigen Verwendung mit einem 802.1x-Authentifizierungsprofil zu speichern. Klicken Sie auf Konfigurieren und geben Sie den Benutzernamen, die Domäne und das Kennwort ein. Geben Sie das Kennwort erneut im Textfeld "Kennwort bestätigen" ein und klicken Sie auf OK, um die Einstellungen zu speichern und das Dialogfeld zu schließen. Dieser Benutzername und diese Domäne müssen mit dem Benutzernamen und der Domäne übereinstimmen, die vor der Client-Authentifizierung vom Systemadministrator auf dem Authentifizierungsserver eingerichtet wurden. Achten Sie beim Benutzernamen auf Groß- und Kleinschreibung. Der Name gibt die Identität an, die der authentifizierenden Partei vom Authentifizierungsprotokoll auf dem TLS-Tunnel angegeben wird. Die Identität dieses Benutzers wird erst nach Bestätigung und Verbindung über den verschlüsselten Kanal in gesicherter Übertragung an den Server weitergeleitet. Benutzerkennwort erneut eingeben. Bei Bestätigung wird dasselbe Kennwort angezeigt, das im Kennwortfeld eingegeben wurde.
Hinweis: Wenn die Funktion "Windows-Anmeldung verwenden" grau unterlegt ist (nicht verfügbar), wurde die Funktion "Einzelanmeldung" nicht installiert. Informationen zur Installation der Funktion "Windows-Anmeldung verwenden" finden Sie unter Die Funktion "Einzelanmeldung" installieren und deinstallieren.
Der Zugriffspunkt liefert, abhängig von der WLAN-Umgebung, Einstellungen zur Auswahl verschiedener Authentifizierungstypen. Der Client sendet während des 802.11-Authentifizierungshandshakes ein Authentifizierungs-Algorithmusfeld, das zwischen Client und Zugriffspunkt während des Verbindungsaufbaus stattfindet. Die von einem CCX-fähigen Zugriffspunkt erkannten Authentifizierungsalgorithmenwerte sind für die unterschiedlichen Authentifizierungstypen unterschiedlich. Beispielsweise hat "Netzwerk-EAP", das LEAP kennzeichnet, einen Wert von 0x80, wenn es "offen" ist, was der 802.11-spezifischen Authentifizierung "Offen" entspricht und "Erforderliches EAP", das einen EAP-Handshakeaustausch erfordert, hat einen Wert von 0x0.
Zugriffspunkt: Für CCX-fähige Netzwerke, die die LEAP-Authentifizierung verwenden, wird durch die Markierung des Kontrollkästchens "Netzwerk-EAP" nur der Authentifizierungstyp bestimmt und die Felder "Offen" und "Erforderliches EAP" werden nicht markiert. Der Zugriffspunkt wird dann so konfiguriert, dass LEAP-Clients NUR authentifizieren und verbinden. In diesem Fall erwartet der Zugriffspunkt, dass der 802.11-Authentifizierungsalgorithmus auf 0x80 (LEAP) gesetzt wird und lehnt Clients ab, deren Authentifizierungsalgorithmuswert auf 0x0 gesetzt ist.
Client: In diesem Fall muss der Client einen Authentifizierungsalgorithmenwert von 0x80 senden, da der Authentifizierungshandshake ansonsten fehlschlagen würde. Während des Startens, wenn der Wireless LAN-Treiber bereits geladen wurde, aber das anfragende Programm Intel(R) PROSet noch nicht, sendet der Client eine 802.11-Authentifizierung mit einem Authentifizierungsalgorithmenwert von 0x0. Sobald das anfragende Programm Intel(R) PROSet geladen ist und ein LEAP-Profil eingliedert, sendet es eine 802.11-Authentifizierung mit einem Authentifizierungsalgorithmenwert von 0x80.
Netzwerk-EAP, Offen und Erforderliches EAP
Zugriffspunkt: Wenn die Netzwerk-EAP-Felder "Offen" und "Erforderliches EAP" markiert sind, werden beide Algorithmenwerte (0x0 und 0x80) der 802.11-Authentifizierung akzeptiert. Sobald der Client jedoch zugewiesen und berechtigt wurde, erwartet der Zugriffspunkt einen EAP-Handshake. Wenn dieser aus irgendeinem Grunde nicht umgehend stattfindet, antwortet der Zugriffspunkt ungefähr 60 Sekunden lang nicht auf den Client.
Client: In diesem Fall kann der Client einen Authentifizierungsalgorithmenwert von 0x80 oder 0x0 senden. Beide Werte sind akzeptable und der 802.11-Authentifizierungs-Handshake wäre erfolgreich. Während des Startens, wenn der Wireless LAN-Treiber bereits geladen wurde, sendet der Client eine 802.11-Authentifizierung mit einem Authentifizierungsalgorithmenwert von 0x0. Dies reicht zur Authentifizierung aus, aber die entsprechenden EAP- oder LEAP-Berechtigungsnachweise müssen dem Zugriffspunkt übermittelt werden, um eine Verbindung herstellen zu können.
Nur "Offen" und "Erforderliches EAP"
Zugriffspunkt: Wenn der Zugriffspunkt konfiguriert wird und das Netzwerk-EAP nicht markiert wurde, sondern nur "Offen" und "Erforderliches EAP", lehnt der Zugriffspunkt alle Clients ab, die versuchen, die 802.11-Authentifizierung mit einem Authentifizierungsalgorithmenwert von 0x80 vorzunehmen. Der Zugriffspunkt akzeptiert alle Clients, die einen Authentifizierungsalgorithmenwert von 0x0 aufweisen und erwartet, dass kurz darauf ein EAP-Handshake stattfindet. In diesem Fall verwendet der Client MD5, TLS, LEAP oder alle anderen entsprechenden EAP-Methoden, die für die spezifische Netzwerkkonfiguration geeignet sind.
Client: Der Client muss dann einen Authentifizierungsalgorithmenwert von 0x0 senden. Wie zuvor erwähnt, beinhaltet die Sequenz eine Wiederholung des ursprünglichen 802.11-Authentifizierungshandshake. Zunächst initiiert der Wirelass LAN-Treiber die Authentifzierung mit einem Wert von 0x0 und später wiederholt die anfragende Partei den Vorgang. Der Client sendet eine 802.11-Authentifizierung mit eine Authentifizierungsalgorithmuswert von 0x0, selbst nachdem der anfragende Teilnehmer das LEAP-Profil lädt und eingliedert.
Ein LEAP-Profil stellt sicher, dass der Client die Funktion "Rogue-Zugriffspunkt" implementiert, wie es von CCX verlangt wird. Der Client notiert Zugriffspunkte, die er nicht authentifiziert hat, und sendet diese Informationen an den Zugriffspunkt, der die Authentifizierung und Verbindung durchführt. Außerdem setzt der anfragende Teilnehmer den Authentifizierungsalgorithmustyp auf 0x80. Es gibt möglicherweise einige Netzwerkkonfigurationen, die "Offen" und "Nur erforderliches EAP", wie oben beschrieben, implementieren. Damit dieses Setup funktionieren kann, muss der Client anstelle von 0x80 Nur Netzwerk-EAP, wie oben beschrieben, einen Authentifizierungsalgorithmenwert von 0x0 verwenden. Ein LEAP-Profil gestattet dem Client auch, "Nur Netzwerk-EAP" und "Nur Offen und "Erforderliches EAP" zu unterstützen.
Hinweis: Weitere Einzelheiten entnehmen Sie bitte dem Cisco Client-Erweiterungsdokument Version 2.0 unter www.cisco.com.