Configuración de tipos EAP (protocolo de autenticación extensible)

  • EF

Hay numerosas opciones disponibles para autenticarse en redes Wi-Fi o cableadas, especialmente si su infraestructura admite más de un tipo de autenticación. Cada opción tiene ajustes únicos que debe configurar. En este artículo se describen las opciones de configuración más comunes. Para obtener más información sobre la configuración de redes empresariales, consulte nuestros artículos Configurar el Library ItemWi-Fi y Configurar el Library ItemEthernet para obtener asistencia.

La infraestructura de red debe ser compatible con los tipos de EAP elegidos y estar configurada correctamente para permitir la autenticación. Si no sabe cómo está configurada la red, trabaje con los administradores de red para determinar cómo quieren que se conecten los clientes de red.

Configurar EAP-TLS

EAP-TLS utiliza la seguridad de la capa de transporte y un certificado de identidad para autenticar los dispositivos en la red.

Debe proporcionar un certificado de identidad para utilizar EAP-TLS.

  1. Seleccione TLS en Tipos de EAP aceptados.

  2. Para evitar el uso de versiones de TLS más antiguas y débiles, seleccione la versión mínima de TLS que desea permitir.

  3. Si su infraestructura no es compatible con las versiones más recientes de TLS, seleccione la versión máxima de TLS que desea utilizar.

  4. Seleccione un método para proporcionar un certificado de identidad y configure los ajustes aplicables. Consulte Configurar el Library ItemWi-Fi para obtener más información. 

Configurar EAP-TTLS

La seguridad de la capa de transporte en túnel utiliza un túnel TLS para cifrar otro protocolo de autenticación. No requiere certificado de identidad.

Los dispositivos pueden usar un nombre de usuario y una contraseña o credenciales de directorio basadas en dispositivos para autenticarse. 

Autenticación de nombre de usuario y contraseña:

  1. Elija Nombre de usuario y contraseña para Autenticación.

  2. Opcionalmente, proporcione el nombre de usuario. Puede utilizar un valor estático o una de las variables globales deKandji, como $EMAIL. Si no ingresa un nombre de usuario, el dispositivo solicita al usuario que ingrese uno al conectarse a la red.

  3. Seleccione la frecuencia con la que se solicitará al usuario su contraseña. Si eliges Una vez y no proporcionas una contraseña, el dispositivo le pedirá al usuario una vez su contraseña y la recordará. Si selecciona, Cada vez que el usuario se conecte a la red, el dispositivo no recordará la contraseña.

  4. Si los dispositivos utilizan un nombre de usuario y una contraseña compartidos, introduzca la contraseña en el campo Contraseña . Si no introduce una contraseña, el dispositivo solicitará al usuario que introduzca una contraseña al conectarse a la red.

Autenticación de directorio basada en dispositivo para un Mac vinculado a un servicio de directorio:

  1. Elija Autenticación del sistema AD del equipo para usar la cuenta de equipo de Active Directory o Autenticación del sistema OD del equipo para usar la cuenta del equipo de Open Directory.

Configure los ajustes TTLS restantes:

  1. Al seleccionar TTLS, el dispositivo usará un nombre de usuario y una contraseña o credenciales de directorio del dispositivo para la autenticación. Si la red requiere un certificado de identidad como segundo factor de autenticación, seleccione Requerir autenticación de dos factores.

  2. En Autenticación interna, elija el protocolo de autenticación que se utilizará dentro del túnel TLS.

  3. Opcionalmente, especifique Identidad externa, que es diferente de la identidad utilizada dentro del túnel y se especifica para evitar que se exponga la identidad interna. 

  4. Para evitar el uso de versiones de TLS más antiguas y débiles, seleccione la versión mínima de TLS que desea permitir

  5. Si su infraestructura no es compatible con las versiones más recientes de TLS, seleccione la versión máxima de TLS que desea utilizar.

Configurar EAP-LEAP

El protocolo de autenticación extensible ligero es un método de autenticación más antiguo basado en MS-CHAP y Dynamic WEP. No utiliza certificado de identidad.

Los dispositivos pueden usar un nombre de usuario y una contraseña o credenciales de directorio basadas en dispositivos para autenticarse. 

Autenticación de nombre de usuario y contraseña:

  1. Elija Nombre de usuario y contraseña para Autenticación.

  2. Opcionalmente, proporcione el nombre de usuario. Puede utilizar un valor estático o una de las variables globales deKandji, como $EMAIL. Si no ingresa un nombre de usuario, el dispositivo solicita al usuario que ingrese uno al conectarse a la red.

  3. Seleccione la frecuencia con la que se solicitará al usuario su contraseña. Si eliges Una vez y no proporcionas una contraseña, el dispositivo le pedirá al usuario una vez su contraseña y la recordará. Si selecciona Cada vez que el usuario se conecte a la red, el dispositivo no recordará la contraseña.

  4. Si los dispositivos utilizan un nombre de usuario y una contraseña compartidos, introduzca la contraseña en el campo Contraseña . Si no introduce una contraseña, el dispositivo solicitará al usuario que introduzca una contraseña al conectarse a la red.

Autenticación de directorio basada en dispositivo para un Mac vinculado a un servicio de directorio:

  1. En Autenticación, elija Autenticación del sistema AD del equipo para usar la cuenta de equipo de Active Directory o Autenticación del sistema OD del equipo para usar la cuenta de equipo de Open Directory. 

Configurar EAP-PEAP

El protocolo de autenticación extensible protegido aborda las deficiencias de los protocolos de autenticación extensible anteriores, como LEAP. Al igual que EAP-TTLS, PEAP utiliza un túnel TLS para cifrar otro protocolo de autenticación. No requiere certificado de identidad.

Los dispositivos pueden usar un nombre de usuario y una contraseña o credenciales de directorio basadas en dispositivos para autenticarse. 

Autenticación de nombre de usuario y contraseña:

  1. Elija Nombre de usuario y contraseña para Autenticación.

  2. Opcionalmente, proporcione el nombre de usuario. Puede utilizar un valor estático o una de las variables globales deKandji. Por ejemplo, $EMAIL. Si no ingresa un nombre de usuario, el dispositivo solicita al usuario que ingrese uno al conectarse a la red.

  3. Seleccione la frecuencia con la que se solicitará al usuario su contraseña. Si eliges Una vez y no proporcionas una contraseña, el dispositivo le pedirá al usuario una vez su contraseña y la recordará. Si selecciona, Cada vez que el usuario se conecte a la red, el dispositivo no recordará la contraseña.

  4. Si los dispositivos utilizan un nombre de usuario y una contraseña compartidos, introduzca la contraseña en el campo Contraseña . Si no introduce una contraseña, el dispositivo solicitará al usuario que introduzca una contraseña al conectarse a la red.

Autenticación de directorio basada en dispositivo para un Mac vinculado a un servicio de directorio:

  1. En Autenticación, elija Autenticación del sistema AD del equipo para usar la cuenta de equipo de Active Directory o Autenticación del sistema OD del equipo para usar la cuenta de equipo de Open Directory. 

Configure los ajustes restantes de PEAP:

  1. Al seleccionar PEAP, el dispositivo utilizará un nombre de usuario y una contraseña o credenciales de directorio del dispositivo para la autenticación. Si la red requiere un certificado de identidad como segundo factor de autenticación, seleccione Requerir autenticación de dos factores.

  2. Para evitar el uso de versiones de TLS más antiguas y débiles, seleccione la versión mínima de TLS que desea permitir.

  3. Si su infraestructura no es compatible con las versiones más recientes de TLS, seleccione la versión máxima de TLS que desea utilizar.

  4. Opcionalmente, especifique Identidad externa, que es diferente de la identidad utilizada dentro del túnel y se especifica para evitar que se exponga la identidad interna. 

Configurar EAP-FAST

La autenticación flexible a través de túnel seguro (FAST) utiliza un túnel TLS para cifrar la información de autenticación adicional. FAST también admite el restablecimiento rápido del túnel a través de credenciales de acceso protegidas (PAC). No requiere certificado de identidad.

Un nombre de usuario y una contraseña o credenciales de directorio basadas en dispositivos pueden proporcionar autenticación.

Autenticación de nombre de usuario y contraseña:

  1. Elija Nombre de usuario y contraseña para Autenticación.

  2. Opcionalmente, proporcione el nombre de usuario. Puede utilizar un valor estático o una de las variables globales deKandji. Por ejemplo, $EMAIL. Si no ingresa un nombre de usuario, el dispositivo solicita al usuario que ingrese uno al conectarse a la red.

  3. Seleccione la frecuencia con la que se solicitará al usuario su contraseña. Si eliges Una vez y no proporcionas una contraseña, el dispositivo le pedirá al usuario una vez su contraseña y la recordará. Si selecciona, Cada vez que el usuario se conecte a la red, el dispositivo no recordará la contraseña.

  4. Si los dispositivos utilizan un nombre de usuario y una contraseña compartidos, introduzca la contraseña en el campo Contraseña . Si no introduce una contraseña, el dispositivo solicitará al usuario que introduzca una contraseña al conectarse a la red.

Autenticación de directorio basada en dispositivo para un Mac vinculado a un servicio de directorio:

  1. En Autenticación, elija Autenticación del sistema AD del equipo para usar la cuenta de equipo de Active Directory o Autenticación del sistema OD del equipo para usar la cuenta de equipo de Open Directory.

Configure los ajustes restantes de EAP-FAST:

  1. Al seleccionar EAP-FAST, el dispositivo utilizará un nombre de usuario y una contraseña o credenciales de directorio del dispositivo para la autenticación. Si la red requiere un certificado de identidad como segundo factor de autenticación, seleccione Requerir autenticación de dos factores.

  2. Opcionalmente, especifique Identidad externa, que es diferente de la identidad utilizada dentro del túnel y se especifica para evitar que se exponga la identidad interna. 

  3. Para usar credenciales de acceso protegido, seleccione Usar PAC.

  4. Para usar credenciales de acceso protegido, seleccione Aprovisionar PAC.

  5. Si desea aprovisionar el PAC de forma anónima, seleccione Aprovisionar PAC de forma anónima

Configurar EAP-SIM

Este método de autenticación solo es compatible con el Library ItemWi-Fi.

EAP-SIM utiliza el módulo de identidad del suscriptor (SIM) de un dispositivo para una red del Sistema Global de Comunicaciones Móviles (GSM) para autenticarse en Wi-Fi. Este tipo de EAP se utiliza en muy pocos entornos, por ejemplo, si es un operador de red móvil (MNO) o un operador de red móvil virtual (MVNO). No requiere certificado de identidad.

  1. Elija el número mínimo de valores RAND que los dispositivos requieren del servidor. Las opciones disponibles son 3 (valor predeterminado), 2 o No especificar. Más desafíos de RAND dan como resultado un material de incrustación más fuerte.

Configurar EAP-AKA

Este método de autenticación solo es compatible con el Library ItemWi-Fi.

EAP-AKA (Authentication and Key Agreement) utiliza el módulo de identidad de un dispositivo para un Sistema Universal de Telecomunicaciones Móviles (UMTS) y CDMA2000 red para autenticarse en Wi-Fi. Este tipo de EAP se utiliza en muy pocos entornos, por ejemplo, si es un operador de red móvil (MNO) o un operador de red móvil virtual (MVNO). No requiere certificado de identidad. No hay opciones para configurar para este tipo de EAP.