Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为 Windows 设备配置 EAP-TEAP 身份验证

要保护您的网络,请按照以下步骤配置客户端设备以进行 EAP-TEAP(隧道可扩展身份验证协议)身份验证。

隧道可扩展身份验证协议 (TEAP) 是一种基于隧道的 EAP 方法,通过使用传输层安全性 (TLS) 协议建立相互验证的隧道,从而实现对等方与服务器之间的安全通信。在隧道中,TLV 对象用于在 EAP 对等方和 EAP 服务器之间传输与身份验证相关的数据。(RFC 7170 - 隧道可扩展身份验证协议

注意:Juniper Mist Access Assurance 支持 EAP-TEAP,要求对计算机和用户进行强制性身份验证,并将 EAP-TLS 作为两者的身份验证方法。

目前,Windows 10 版本及更高版本提供 TEAP 支持。

截至目前,您可以使用TEAP手动或通过脚本配置无线和有线配置文件,这些脚本可以使用MDM或GPO分发。目前的MDM解决方案不提供对TEAP配置的现成支持。

要在 Windows 设备上配置 EAP-TEAP:

  1. 在 Windows 设备上,导航到“控制面板”>“网络”和“Internet >网络和共享中心”。然后,单击“设置新连接或网络”。
  2. 选择“手动连接到无线网络”,然后单击“下一步”。
  3. 输入无线网络的以下详细信息,然后单击下一步

    • 网络名称 - 提供 SSID 名称。

    • 安全类型 - 选择 WPA2-EnterpriseWPA3-Enterprise 选项。

  4. 单击“更改连接设置”。

    此时将显示“无线网络属性”对话框。

  5. 选择“安全性”选项卡,然后在“选择网络身份验证方法”下选择“TEAP”。然后,单击“设置”

  6. 在“TEAP 属性”对话框中选择以下选项:
    • 身份隐私 - 默认情况下,“身份”设置为“匿名”,但如有必要,您可以将其覆盖为所需的身份。
    • 连接到这些服务器 - 如果您使用的是默认 Mist Access Assurance 服务器证书,请输入 auth.mist.com 。如果您使用的是自定义 RADIUS 服务器证书,请提供证书 SAN:DNS 名称。
    • 受信任的根证书颁发机构 - 选择Mist组织 CA 证书(或您的自定义 RADIUS 服务器证书)。
    • 身份验证方法 - 选择“ Microsoft:智能卡或其他证书 (EAP-TLS) ”作为身份验证的主要和辅助 EAP 方法。

  7. 单击主要和次要 EAP 方法的配置。在为每个显示的“智能卡或其他证书属性”对话框中:

    • 确保选中 “使用简单证书选择(推荐) ”选项。

    • 选择使客户端能够信任 Mist Access Assurance 服务器证书的可信根证书颁发机构 (CA)。确保为主要和辅助 EAP 方法选择相同的 CA

    • 单击 “确定”

  8. 在“无线网络属性”对话框的“安全”选项卡中,单击“高级设置”。
  9. 在“高级设置”对话框中:
    1. 选中“指定身份验证模式”复选框,然后选择“用户或计算机身份验证”
    2. 单击“确定”,然后单击“关闭”。
  10. 验证配置:
    1. 在Juniper Mist门户中,创建身份验证策略。添加规则以允许 TEAP 身份验证类型。
    2. 添加 CA 证书以启用 Juniper Mist Access Assurance 以信任由您添加的 CA 颁发的客户端证书。若要添加证书,请导航到“组织>访问>证书>添加证书颁发机构”页。有关添加 CA 证书的详细步骤,请参阅使用证书颁发机构 (CA) 证书
    3. 将客户端设备连接到网络。
    4. 导航到 Monitor > Service Levels > Insights 页面,然后转到 Client Events 部分。验证 NAC 客户端身份验证事件。

相关主题