Cisco Cisco AnyConnect Secure Mobility Client v4.x Merkblatt
머신 PAC는 단축된 TLS 핸드셰이크를 제공하고 내부 인증을 삭제합니다. 이 제
어 기능은 PAC 매개변수 활성화/비활성화를 수행하여 처리됩니다.
어 기능은 PAC 매개변수 활성화/비활성화를 수행하여 처리됩니다.
참고
Disable When Using a Smart Card(스마트카드 사용 시 비활성화) 옵션은 사용자
연결 권한 부여에만 사용할 수 있습니다.
연결 권한 부여에만 사용할 수 있습니다.
참고
• 자격 증명 소스 기반 내부 방법 — 비밀번호 또는 인증서를 사용하여 인증할 수 있습니다.
◦ EAP-MSCHAPv2 또는 EAP-GTC용 비밀번호를 사용하여 인증합니다. EAP-MSCHAPv2는
상호 인증을 제공하지만 서버를 인증하기 전에 클라이언트를 인증합니다. 먼저 인증된 서
버와 상호 인증을 수행하려면 인증된 프로비저닝 전용으로 EAP-FAST를 구성하고 서버 인
증서를 확인합니다. 비밀번호의 NT 해시에 기반하여 시도 응답 방법을 사용하는 경우
EAP-MSCHAPv2는 사용자에게 암호화되지 않은 텍스트 비밀번호 또는 최소한 비밀번호
의 NT 해시 중 하나를 인증자의 데이터베이스에 저장하도록 요청합니다. 비밀번호가
EAP-GTC 내에서 암호화되지 않은 텍스트로 인증자에게 전달되므로 데이터베이스에 대한
인증을 위해 이 프로토콜을 사용할 수 있습니다.
버와 상호 인증을 수행하려면 인증된 프로비저닝 전용으로 EAP-FAST를 구성하고 서버 인
증서를 확인합니다. 비밀번호의 NT 해시에 기반하여 시도 응답 방법을 사용하는 경우
EAP-MSCHAPv2는 사용자에게 암호화되지 않은 텍스트 비밀번호 또는 최소한 비밀번호
의 NT 해시 중 하나를 인증자의 데이터베이스에 저장하도록 요청합니다. 비밀번호가
EAP-GTC 내에서 암호화되지 않은 텍스트로 인증자에게 전달되므로 데이터베이스에 대한
인증을 위해 이 프로토콜을 사용할 수 있습니다.
◦ 비밀번호 기반 내부 방법을 사용하는 경우, 인증되지 않은 PAC 프로비저닝을 허용하기 위
해 추가 옵션을 사용할 수 있습니다.
◦ 인증서를 사용하여 인증 — 인증서를 사용하여 인증하기 위해 다음 기준을 결정합니다. 요
청 시 클라이언트 인증서를 암호화되지 않은 텍스트로 전송하고 터널 내부에 있는 클라이
언트 인증서만 전송하거나 터널에서 EAP TLS를 사용하여 클라이언트 인증서를 전송합니
다.
언트 인증서만 전송하거나 터널에서 EAP TLS를 사용하여 클라이언트 인증서를 전송합니
다.
◦ 토큰 및 EAP-GTC를 사용하여 인증합니다.
• PAC 사용 — EAP-FAST 인증에 PAC를 사용하도록 지정할 수 있습니다. PAC는 최적화된 네트
워크 인증을 위해 클라이언트에 배포된 자격 증명입니다.
일반적으로 대부분의 인증 서버에서 EAP-FAST에 대해 PAC를 사용하기 때문에
PAC 옵션을 사용합니다. 이 옵션을 제거하기 전에 인증 서버가 EAP-FAST에 대
해 PAC를 사용하지 않는지 확인하고 그렇지 않은 경우 클라이언트의 인증 시도
가 실패합니다. 인증 서버가 인증된 PAC 프로비저닝을 지원하는 경우 Cisco에서
는 인증되지 않은 프로비저닝을 비활성화할 것을 권장합니다. 인증되지 않은 프
로비저닝은 서버 인증서를 확인하지 않으며 침입자가 사전 기반 공격을 마운트
하도록 활성화할 수 있습니다.
PAC 옵션을 사용합니다. 이 옵션을 제거하기 전에 인증 서버가 EAP-FAST에 대
해 PAC를 사용하지 않는지 확인하고 그렇지 않은 경우 클라이언트의 인증 시도
가 실패합니다. 인증 서버가 인증된 PAC 프로비저닝을 지원하는 경우 Cisco에서
는 인증되지 않은 프로비저닝을 비활성화할 것을 권장합니다. 인증되지 않은 프
로비저닝은 서버 인증서를 확인하지 않으며 침입자가 사전 기반 공격을 마운트
하도록 활성화할 수 있습니다.
참고
Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.1
176
Network Access Manager 구성
네트워크, 사용자 또는 머신 인증 페이지