Konfigurieren von EAP-TLS mit Authentifizierung mit Benutzernamen

Vor dem Start

Diese Anweisung gilt für die [Benutzername aus Domäne; EAP-TLS] -Authentifizierungsmethode. Die Authentifizierungsmethode bezieht sich auf die von Ihnen auf dem PRISMAsync Print Server ausgewählte Methode.

Die nachstehenden Anweisungen beziehen sich auf den Windows Server 2016. Für andere Systeme ist möglicherweise eine andere Konfiguration erforderlich. Die vollständigen Anweisungen finden Sie in der Dokumentation des Herstellers.

Diese Konfigurationen wurden durchgeführt.

1. Konfigurieren von IEEE 802.1X auf dem Authentifizierungsserver (Phase 1)

2. Konfigurieren von IEEE 802.1X auf dem Authentifikator

3. Konfigurieren von IEEE 802.1X auf dem PRISMAsync Print Server

Führen Sie die Anweisungen in der Reihenfolge ihrer Auflistung durch.

Anweisung 1. Erstellen einer Gruppe in der Domäne in Active Directory

1. Klicken Sie in [Server Manager] auf [Tools].

   [Server Manager]-Optionen

2. Öffnen Sie die [Active Directory Users and Computers]-Konsole.

3. Klicken Sie mit der rechten Maustaste auf den Domänennamen, und klicken Sie anschließend auf [New]. Klicken Sie dann auf [Group].

4. Geben Sie einen Namen für die Gruppe ein.

   Neue Gruppe

5. Wählen Sie in der Optionsgruppe [Group scope] [Global] aus.

6. Wählen Sie in der Optionsgruppe [Group type] [Security] aus.

7. Klicken Sie auf [OK].

Anweisung 2. Hinzufügen eines Benutzerkontos

1. Klicken Sie in [Server Manager]auf [Tools].

   [Server Manager]-Optionen

2. Öffnen Sie die [Active Directory Users and Computers]-Konsole.

3. Öffnen Sie die Domänen-Einträge.

4. Klicken Sie mit der rechten Maustaste auf [Users].

5. Klicken Sie auf [New]. Klicken Sie dann auf [User].

6. Füllen Sie das Feld „Benutzername” aus. Klicken Sie dann auf [Next].

   Das Feld [Alternativer Betreffname 1], [Alternativer Betreffname 2] bzw. [Alternativer Betreffname 3] des PRISMAsync Print Server identity-Zertifikats enthält den Benutzernamen geschrieben als UPN-Name (im Internetstil, wie zum Beispiel: username@example.com) oder als Fully Qualified Domain Name (FQDN)-Name, wie zum Beispiel: username.example.com. Hier geben Sie den Benutzernamen-Teil von UPN bzw. FQDN ein.

   Neuer Benutzer

7. Klicken Sie auf [Finish].

   Neuer Benutzer

8. Wenn der Benutzername hinzugefügt ist, klicken Sie mit der rechten Maustaste auf den Benutzer. Klicken Sie dann auf [Properties].

9. Klicken Sie auf die Registerkarte [Member Of] und klicken Sie auf [Add...], um die Gruppe hinzuzufügen, die Sie in Anweisung 1 erstellt haben.

   Neuer Benutzer

10. Klicken Sie auf die Registerkarte [Dial-in].

    [Dial-in]-Registerkarte

11. Wählen Sie in der Optionsgruppe [Network Access Permission] [Control access through NPS Network Policy] aus.

12. Klicken Sie auf [OK].

Anweisung 3. Konfigurieren der Netzwerkrichtlinie für EAP-TLS mit Authentifizierung des Benutzernamens auf dem Authentifizierungsserver

1. Klicken Sie in [Server Manager] auf [Tools].

   [Server Manager]-Optionen

2. Öffnen Sie die [NPS]-Konsole.

3. Öffnen Sie das [Policies]-Verzeichnis.

4. Klicken Sie mit der rechten Maustaste auf [Network Policies]. Klicken Sie anschließend auf [New], um den [New Network Policy]-Assistenten zu öffnen.

5. Geben Sie einen Namen für die Richtlinie ein.

   [Network Policies]-Optionen

6. Stellen Sie sicher, dass [Unspecified] in der Option [Type of network access server] ausgewählt ist.

7. Klicken Sie auf [Next].

8. Klicken Sie auf der Seite [Specify Conditions] auf [Add...] und wählen Sie [Windows Groups] aus.

   [Network Policies]-Assistent

9. Klicken Sie auf [Add...], um die Gruppe auszuwählen und hinzuzufügen, die Sie in Anweisung 1 erstellt haben.

   [Network Policies]-Assistent

10. Klicken Sie auf [OK], um das Dialogfeld [Select Group] zu schließen.

11. Klicken Sie auf [Next].

    [Network Policies]-Assistent

12. Wählen Sie auf der Seite [Specify Access Permission] [Access granted] aus.

    [Network Policies]-Assistent

13. Klicken Sie auf [Next].

14. Klicken Sie auf der Seite [Configure Authentication Methods] auf [Add...].

    

15. Klicken Sie im Dialogfeld [Add EAP] auf [Microsoft: Smart Card or other certificate].

16. Klicken Sie auf [OK].

17. Wählen Sie [Microsoft: Smart Card or other certificate] aus der Liste [EAP Types] aus. Klicken Sie dann auf [Edit].

    

18. Wählen Sie im Dialogfeld [Smart Card or other Certificate Properties] das Identitätszertifikat des RADIUS-Servers aus. Dieses Zertifikat bezieht sich auf das vertrauenswürdige Zertifikat, das auf dem PRISMAsync Print Server verfügbar ist.

    

19. Klicken Sie auf [OK].

20. Deaktivieren Sie die Kontrollkästchen [Less secure authentication methods], die sich auf Authentifizierungsmethoden beziehen, die Sie nicht verwenden möchten.

    

21. Klicken Sie auf [Next].

22. Klicken Sie auf der Seite [Configure Constraints] auf [Next].

    

23. Klicken Sie auf [Next].

24. Klicken Sie auf der Seite [Completing New Network Policy ] auf [Finish].

    [Network Policies]-Assistent

Weitere Informationen

• Informationen zu IEEE 802.1X-Authentifizierungsprotokollen

• Informationen zur IEEE 802.1X-portbasierten Authentifizierung

• Übersicht der erforderlichen IEEE 802.1X-Konfigurationsverfahren

• Konfigurieren von IEEE 802.1X auf dem Authentifizierungsserver (Phase 1)

• Konfigurieren von IEEE 802.1X auf dem Authentifikator

• Konfigurieren der portbasierten IEEE 802.1X-Authentifizierung auf dem PRISMAsync Print Server