Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
EAP-FAST、PEAP、EAP-TTLS、EAP-TLS 和 LEAP(EAP-MD5、EAP-GTC 和仅用于
IEEE 802.3 有线的 EAP-MSCHAPv2)。
• 内部 EAP 方法:
PEAP - EAP-GTC、EAP-MSCHAPv2 和 EAP-TLS。
EAP-TTLS - EAP-MD5 和 EAP-MSCHAPv2 和传统方法(PAP、CHAP、MSCHAP 和
MSCHAPv2)。
EAP-FAST - GTC、EAP-MSCHAPv2 和 EAP-TLS。
• 加密模式 - 静态 WEP(打开或共享)、动态 WEP、TKIP 和 AES。
• 密钥建立协议 - WPA、WPA2/802.11i。
• AnyConnect 在以下环境中支持提供智能卡的凭证:
• Windows 中的 Microsoft CAPI 1.0 和 CAPI 2.0 (CNG)。
• Windows 登录不支持 ECDSA 证书;因此,网络访问管理器单点登录 (SSO) 不支持 ECDSA
客户端证书。
套件 B 和 FIPS
以下功能经过 FIPS 认证,并且列出了所有例外:
• ACS 和 ISE 不支持 Suite B,但具有 OpenSSL 1.x 的 FreeRADIUS 2.x 支持 Suite B。 Microsoft
NPS 2008 部分支持 Suite B(NPS 证书仍必须是 RSA)。
• 802.1X/EAP 只支持过渡性 Suite B 配置文件(如 RFC 5430 中定义)。 不支持 TLS 1.2。
• MACsec 在 Windows 7 上与 FIPS 兼容。
• 在 Windows 7 上支持 Elliptic Curve Diffie-Hellman (ECDH) 密钥交换。
• 在 Windows 7 上支持 ECDSA 客户端证书。
• 在 Windows 7 上支持操作系统存储区中的 ECDSA CA 证书。
• 在 Windows 7 上支持网络配置文件中的 ECDSA CA 证书(PEM 编码)。
• 在 Windows 7 上支持服务器的 ECDSA 证书链验证。
单点登录“单一用户”实施
Microsoft Windows 允许多名用户同时登录,但 Cisco AnyConnect 网络访问管理器将网络身份验证仅
限于对单一用户执行。 无论有多少用户登录,AnyConnect 网络访问管理器都在每个桌面或每台服务
器上为一位用户保持活动状态。 单用户登录实施意味着只有一位用户可以随时登录到系统,并且管
理员无法强制当前登录的用户注销。
限于对单一用户执行。 无论有多少用户登录,AnyConnect 网络访问管理器都在每个桌面或每台服务
器上为一位用户保持活动状态。 单用户登录实施意味着只有一位用户可以随时登录到系统,并且管
理员无法强制当前登录的用户注销。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
138
配置网络访问管理器
套件 B 和 FIPS