Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
从远程用户的角度来看,清除 PIN 模式和新用户模式是相同的,而且安全网关对两者同等对待。 在
这两种情况下,远程用户要么必须输入新 PIN,要么由 SDI 服务器分配一个新 PIN。 唯一的区别在
于对初始质询的用户响应。
这两种情况下,远程用户要么必须输入新 PIN,要么由 SDI 服务器分配一个新 PIN。 唯一的区别在
于对初始质询的用户响应。
对于新 PIN 模式,现有 PIN 用于生成验证码,就像在任何普通质询中一样。 对于清除 PIN 模式,硬
件令牌根本不会使用 PIN,用户只需输入令牌码。 连续八个零 (00000000) 的 PIN 用于为 RSA 软件
令牌生成验证码。 无论哪种情况,SDI 服务器管理员都必须通知用户使用什么 PIN 值(如果有的
话)。
件令牌根本不会使用 PIN,用户只需输入令牌码。 连续八个零 (00000000) 的 PIN 用于为 RSA 软件
令牌生成验证码。 无论哪种情况,SDI 服务器管理员都必须通知用户使用什么 PIN 值(如果有的
话)。
将新用户添加到 SDI 服务器与清除现有用户的 PIN 这两种操作会得到相同的结果。 在这两种情况
下,用户必须提供新 PIN 或者由 SDI 服务器分配一个新 PIN。 在这些模式中,对于硬件令牌,用户
只需从 RSA 设备输入一个令牌码。 无论哪种情况,SDI 服务器管理员都必须通知用户使用什么 PIN
值(如果有的话)。
下,用户必须提供新 PIN 或者由 SDI 服务器分配一个新 PIN。 在这些模式中,对于硬件令牌,用户
只需从 RSA 设备输入一个令牌码。 无论哪种情况,SDI 服务器管理员都必须通知用户使用什么 PIN
值(如果有的话)。
创建新 PIN
如果没有当前 PIN,则 SDI 服务器要求满足以下条件之一(具体取决于系统的配置):
• 系统必须给用户分配一个新 PIN(默认值)
• 用户必须创建一个新 PIN
• 用户可以选择创建 PIN 或由系统分配 PIN
如果 SDI 服务器配置为允许远程用户选择是创建 PIN 还是由系统分配 PIN,则登录屏幕会显示一个
包含这些选项的下拉列表。 状态行提供提示消息。
包含这些选项的下拉列表。 状态行提供提示消息。
对于系统分配的 PIN,如果 SDI 服务器接受用户在登录页面上输入的验证码,则安全网关会向客户
端发送系统分配的 PIN。 客户端向安全网关发送回响应,表示用户看到了新 PIN,系统继续“下一
个验证码”质询。
端发送系统分配的 PIN。 客户端向安全网关发送回响应,表示用户看到了新 PIN,系统继续“下一
个验证码”质询。
如果用户选择创建新 PIN,则 AnyConnect 会显示一个对话框以便输入该 PIN。 PIN 必须是一个 4 到
8 位的数字。 由于 PIN 是一种类型的密码,用户在这些输入字段中输入的任何内容都显示为星号。
8 位的数字。 由于 PIN 是一种类型的密码,用户在这些输入字段中输入的任何内容都显示为星号。
使用 RADIUS 代理时,PIN 确认是继原始对话框之后的一个单独质询。 客户端将新 PIN 发送到安全
网关,安全网关继续“下一个验证码”质询。
网关,安全网关继续“下一个验证码”质询。
“下一个验证码”和“下一个令牌代码”质询
对于“下一个验证码”质询,客户端使用在创建或分配新 PIN 过程中缓存的 PIN 值从 RSA SecurID
软件令牌 DLL 检索下一个验证码并将其返回给安全网关,而不会提示用户。 同样,对于软件令牌的
“下一个令牌代码”质询,客户端从 RSA SecurID 软件令牌 DLL 检索下一个令牌代码。
软件令牌 DLL 检索下一个验证码并将其返回给安全网关,而不会提示用户。 同样,对于软件令牌的
“下一个令牌代码”质询,客户端从 RSA SecurID 软件令牌 DLL 检索下一个令牌代码。
比较本地 SDI 与 RADIUS SDI
网络管理员可以配置安全网关,以允许通过以下模式之一进行 SDI 身份验证:
• 本地 SDI 指安全网关中与 SDI 服务器直接通信以便处理 SDI 身份验证的本地能力。
• RADIUS SDI 指安全网关使用 RADIUS SDI 代理(与 SDI 服务器通信)执行 SDI 身份验证的过
程。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
134
配置 VPN 接入
使用 SDI 令牌 (SoftID) 集成进行 VPN 身份验证