Настройка PEAP с проверкой подлинности имени принтера и EAP-TLS

Перед началом работы

Эта инструкция применяется к методу проверки подлинности [Имя принтера из домена; PEAP с EAP-TLS] . Этот тот метод проверки подлинности, который вы выбрали на PRISMAsync Print Server.

Приведенные ниже инструкции относятся к Windows Server 2016. Для других систем может требоваться другая конфигурация. Полные инструкции см. в документации поставщика.

Настроены следующие конфигурации.

1. Настройте IEEE 802.1X на сервере проверки подлинности (этап 1)

2. Настройте IEEE 802.1X на аутентификаторе

3. Настройте IEEE 802.1X на PRISMAsync Print Server

Выполните инструкции в указанном порядке.

Инструкция 1. В Active Directory создайте группу в домене

1. В [Server Manager] щелкните [Tools].

   Параметры [Server Manager]

2. Откройте консоль [Active Directory Users and Computers].

3. Правой кнопкой мыши щелкните [New]. Затем щелкните [Group].

4. Введите имя для группы.

   Новая группа

5. Выберите [Global] в группе параметров [Group scope].

6. Выберите [Security] в группе параметров [Group type].

7. Щелкните [OK].

Инструкция 2. В Active Directory добавьте имя принтера в качестве имени компьютера

1. В [Server Manager] щелкните [Tools].

   Параметры [Server Manager]

2. Откройте консоль [Active Directory Users and Computers].

3. Разверните записи домена.

4. Щелкните правой кнопкой мыши [Computers].

5. Щелкните [New]. Затем щелкните [Computer].

6. Введите имя узла принтера.

   DNS использует имя узла и добавляет к этому имени иерархию домена DNS, чтобы создать имя FQDN.

   Найдите имя узла в сертификате удостоверения PRISMA Print Server.

   В поле [Альтернативное имя 1 субъекта], [Альтернативное имя 2 субъекта] или [Альтернативное имя 3 субъекта] содержится содержимое поля [Обычное имя]. Это имя принтера Fully Qualified Domain Name (FQDN), например: hostname.example.net. Здесь необходимо ввести часть FQDN, представляющую имя узла.

   Новый компьютер

7. Щелкните [OK].

8. После того как будет добавлено имя принтера, щелкните имя правой кнопкой мыши. Затем щелкните [Properties].

9. Нажмите вкладку [Member Of], чтобы выбрать группу, которую вы создали при выполнении инструкции 1.

   Выбор группы

10. Откройте вкладку [Dial-in].

11. В группе параметров [Network Access Permission] выберите [Control access through NPS Network Policy].

    Параметры [Dial-in]

12. Щелкните [OK].

13. Откройте редактор ADSI Edit.

    Редактор ADSI Edit

14. Перейдите к каталогу CN=Computers.

15. Правой кнопкой мыши щелкните имя принтера и выберите [Properties].

16. Выберите [servicePrincipalName] и нажмите [Edit].

17. Введите имя принтера в соответствии со следующим форматом: host/<hostname>.<DNS domain hierarchy> . Например, host/PRISMAprinter.ft5.cppvenlo.cpp.net.

18. Щелкните [OK].

Инструкция 3. На сервере проверки подлинности настройте политику сети для PEAP с проверкой подлинности имени принтера и EAP-TLS

1. В [Server Manager] щелкните [Tools].

   Параметры [Server Manager]

2. Откройте консоль [NPS].

3. Разверните [Policies].

4. Щелкните правой кнопкой мыши [Network Policies]. Затем щелкните [New]. Откроется мастер [New Network Policy].

5. Введите имя политики.

   Мастер [Network Policies]

6. Убедитесь, что для параметра [Type of network access server] выбрано значение [Unspecified].

7. Щелкните [Next].

8. На странице [Specify Conditions] выберите [Machine Groups]. Затем щелкните [Add...].

   Мастер [Network Policies]

9. Выберите группу, которую вы создали при выполнении инструкции 1.

   Мастер [Network Policies]

10. Нажмите [OK], чтобы закрыть диалоговое окно [Select Group].

11. Щелкните [Next].

    Мастер [Network Policies]

12. На странице [Specify Access Permission] выберите [Access granted].

    Мастер [Network Policies]

13. Щелкните [Next].

14. На странице [Configure Authentication Methods] нажмите [Add...].

15. Из списка [Authentication methods] выберите [Microsoft: Protected EAP (PEAP)]. Затем щелкните [OK].

    Мастер [Network Policies]

16. Выберите [Microsoft: Protected EAP (PEAP)] и нажмите [Edit].

    Мастер [Network Policies]

17. В диалоговом окне [Edit Protected EAP properties] выберите сертификат удостоверения сервера RADIUS. Этот сертификат относится к доверенному сертификату, доступному на PRISMAsync Print Server.

    Мастер [Network Policies]

18. Из списка [Eap Types] выберите [Smart Card or other certificate].

    Если в списке нет нужной записи, сначала добавьте ее в список.

19. Нажмите [Edit], чтобы проверить, выбран ли сертификат удостоверения сервера RADIUS.

20. Нажмите [OK], чтобы закрыть диалоговое окно [Edit Protected EAP Properties].

21. Снимите флажки [Less secure authentication methods], относящиеся к методам проверки подлинности, которые вы не хотите использовать.

    Мастер [Network Policies]

22. Щелкните [Next].

23. На странице [Configure Constraints] нажмите [Next].

    Мастер [Network Policies]

24. На странице [Configure settings] нажмите [Next].

    Мастер [Network Policies]

25. На странице [Completing New Network Policy ] нажмите [Finish].

    Мастер [Network Policies]

Дополнительная информация

• Протоколы проверки подлинности IEEE 802.1X

• Проверка подлинности, основанная на портах IEEE 802.1X

• Обзор необходимых процедур настройки конфигурации IEEE 802.1X

• Настройка IEEE 802.1X на сервере проверки подлинности (этап 1)

• Настройка IEEE 802.1X на аутентификаторе

• Настройка проверки подлинности, основанной на портах, IEEE 802.1X на PRISMAsync Print Server