Cisco Cisco AnyConnect Secure Mobility Client v2.x Ratgeber Für Administratoren
于允许简化的外部 TLS 握手)。 此 Enable Fast Reconnect(启用快速重新连接)参数可启
用或禁用这两种机制。 验证方决定具体使用哪一种机制。
用或禁用这两种机制。 验证方决定具体使用哪一种机制。
机器 PAC 提供简化的 TLS 握手,无需内部身份验证。 此控制通过启用/禁用 PAC
参数来处理。
参数来处理。
注释
Disable When Using a Smart Card(使用智能卡时禁用)选项仅适用于用户连接授
权。
权。
注释
• Inner methods based on Credentials Source(基于凭证源的内部方法)- 可让您使用密码或证书进
行身份验证。
使用 EAP-MSCHAPv2 或 EAP-GTC 的密码进行身份验证。 EAP-MSCHAPv2 提供相互身
份验证,但它先对客户端、再对服务器进行身份验证。 如果要在相互身份验证中先对服务
器进行身份验证,请配置 EAP-FAST 只用于经过身份验证的调配,并且验证服务器的证
书。 EAP-MSCHAPv2 使用基于密码的 NT 哈希值的质询-响应方法,它要求您在验证方的
数据库中存储明文密码或至少 NT 哈希值形式的密码。 由于密码在 EAP-GTC 中以明文形
式传递给验证方,您可以使用此协议根据数据库进行身份验证。
份验证,但它先对客户端、再对服务器进行身份验证。 如果要在相互身份验证中先对服务
器进行身份验证,请配置 EAP-FAST 只用于经过身份验证的调配,并且验证服务器的证
书。 EAP-MSCHAPv2 使用基于密码的 NT 哈希值的质询-响应方法,它要求您在验证方的
数据库中存储明文密码或至少 NT 哈希值形式的密码。 由于密码在 EAP-GTC 中以明文形
式传递给验证方,您可以使用此协议根据数据库进行身份验证。
如果使用基于密码的内部方法,可使用一个额外的选项来允许未经身份验证的 PAC 调配。
Authenticate using a certificate(使用证书进行身份验证)- 决定使用证书进行身份验证的以
下条件:收到请求时,以明文发送客户端证书,仅在隧道内发送客户端证书,或者使用
下条件:收到请求时,以明文发送客户端证书,仅在隧道内发送客户端证书,或者使用
EAP-TLS 在隧道中发送客户端证书。
使用令牌和 EAP-GTC 进行身份验证。
• Use PACs(使用 PAC)- 可以指定使用 PAC 进行 EAP-FAST 身份验证。 PAC 是分发给客户端
以优化网络身份验证的凭证。
通常使用 PAC 选项,因为大多数身份验证服务器对 EAP-FAST 使用 PAC。 在
删除此选项之前,请确认您的身份验证服务器不对 EAP-FAST 使用 PAC;否则,
客户端的身份验证尝试不会成功。 如果您的身份验证服务器支持经过身份验证
的 PAC 调配,思科建议您禁用未经身份验证的调配。 未经身份验证的调配不验
证服务器的证书,可能允许入侵者发动基于字典的攻击。
删除此选项之前,请确认您的身份验证服务器不对 EAP-FAST 使用 PAC;否则,
客户端的身份验证尝试不会成功。 如果您的身份验证服务器支持经过身份验证
的 PAC 调配,思科建议您禁用未经身份验证的调配。 未经身份验证的调配不验
证服务器的证书,可能允许入侵者发动基于字典的攻击。
注释
您可以选择 PAC Files(PAC 文件)窗格并点击 Add(添加),手动提供一个或多个特定的 PAC
文件进行分发和身份验证。 您还可以突出显示 PAC 文件,然后点击 Remove(删除)从列表中
删除该 PAC 文件。
文件进行分发和身份验证。 您还可以突出显示 PAC 文件,然后点击 Remove(删除)从列表中
删除该 PAC 文件。
Password protected(密码保护)- 如果 PAC 已经以受密码保护的形式导出,请选中 Password
Protected(密码保护)复选框并提供与 PAC 加密密码匹配的密码。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
156
配置网络访问管理器
Networks(网络)窗口的 User or Machine Authentication(用户或机器身份验证)页面