Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
次成功身份验证尝试中使用的令牌相同。 然而,当用户名或组选择更改时,它将恢复为首先尝
试默认方法,如输入字段标签所示。
试默认方法,如输入字段标签所示。
SDI 令牌类型仅在自动设置中有意义。 当身份验证模式不是自动模式时,可以
忽略 SKI 令牌类型的日志。 HardwareToken 作为默认选项可避免触发下一个令
牌模式。
忽略 SKI 令牌类型的日志。 HardwareToken 作为默认选项可避免触发下一个令
牌模式。
注释
• SoftwareToken - 客户端始终将用户输入视为软件令牌 PIN,输入字段标签为“PIN:”。
• HardwareToken - 客户端始终将用户输入视为令牌验证码,输入字段标签为“Passcode:”。
AnyConnect 不支持将多个令牌的令牌选择导入 RSA 软件令牌客户端软件。 相反,客户端使用通
过 RSA SecurID 软件令牌 GUI 选择的默认选项。
过 RSA SecurID 软件令牌 GUI 选择的默认选项。
注释
SDI 身份验证交换的类别
所有 SDI 身份验证交换均属于以下类别之一:
• 普通 SDI 身份验证登录
• 新用户模式
• 新 PIN 模式
• 清除 PIN 模式
• 下一个令牌码模式
普通 SDI 身份验证登录
普通登录质询始终用作第一个质询。 SDI 身份验证用户必须分别在用户名和验证码或 PIN 字段中提
供用户名和令牌验证码(或者在使用软件令牌时提供 PIN)。 客户端将信息返回到安全网关(中心
站点设备),然后安全网关使用身份验证服务器(SDI 或通过 RADIUS 代理的 SDI)对身份验证进
行验证。
供用户名和令牌验证码(或者在使用软件令牌时提供 PIN)。 客户端将信息返回到安全网关(中心
站点设备),然后安全网关使用身份验证服务器(SDI 或通过 RADIUS 代理的 SDI)对身份验证进
行验证。
如果身份验证服务器接受身份验证请求,则安全网关会将成功页面发送回客户端,身份验证交换完
成。
成。
如果验证码不被接受,则身份验证失败,安全网关会发送一个新的登录质询页面以及一条错误消息。
如果达到 SDI 服务器上的验证码失败次数阈值,则 SDI 服务器会将令牌放入下一个令牌码模式中。
如果达到 SDI 服务器上的验证码失败次数阈值,则 SDI 服务器会将令牌放入下一个令牌码模式中。
新用户模式、清除 PIN 模式和新 PIN 模式
PIN 只能在 SDI 服务器上由网络管理员清除。
在新用户模式、清除 PIN 模式和新 PIN 模式中,AnyConnect 缓存用户创建的 PIN 或系统分配的 PIN,
供以后在“下一个验证码”登录质询中使用。
供以后在“下一个验证码”登录质询中使用。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
133
配置 VPN 接入
使用 SDI 令牌 (SoftID) 集成进行 VPN 身份验证