Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
如果启用此选项,请确保在 RADIUS 服务器上安装的服务器证书中包含服务器
身份验证的扩展密钥用法 (EKU)。 当 RADIUS 服务器在身份验证期间将其配置
的证书发送到客户端时,必须对网络访问和身份验证使用此服务器身份验证设
置。
身份验证的扩展密钥用法 (EKU)。 当 RADIUS 服务器在身份验证期间将其配置
的证书发送到客户端时,必须对网络访问和身份验证使用此服务器身份验证设
置。
注释
Enable Fast Reconnect - 只启用外部 TLS 会话恢复,而不管内部身份验证是跳过还是由验证
方控制。
方控制。
Disable When Using a Smart Card 不适用于机器连接身份验证。
注释
• Inner Methods - 指定在 TLS 隧道创建后使用的内部方法。 仅适用于 Wi-Fi 媒体类型。
PEAP 选项
受保护的 EAP (PEAP) 是基于隧道 TLS 的 EAP 方法。 它在客户端身份验证之前使用 TLS 进行服务
器身份验证,以加密内部身份验证方法。 内部身份验证在受信任加密保护的隧道内进行,支持多种
不同的内部身份验证方法,包括证书、令牌和密码。 网络访问管理器不支持在 PEAP 身份验证期间
使用的内部和外部方法加密绑定。 如果需要加密绑定,则必须使用 EAP-FAST。 加密绑定可防御特
殊类别的中间人攻击,在这类攻击中,攻击者无需知道凭证就可以劫持用户的连接。
器身份验证,以加密内部身份验证方法。 内部身份验证在受信任加密保护的隧道内进行,支持多种
不同的内部身份验证方法,包括证书、令牌和密码。 网络访问管理器不支持在 PEAP 身份验证期间
使用的内部和外部方法加密绑定。 如果需要加密绑定,则必须使用 EAP-FAST。 加密绑定可防御特
殊类别的中间人攻击,在这类攻击中,攻击者无需知道凭证就可以劫持用户的连接。
PEAP 通过提供以下服务保护 EAP 方法:
• 为 EAP 数据包创建 TLS 隧道
• 消息身份验证
• 消息加密
• 服务器到客户端的身份验证
可以使用以下身份验证方法:
• 使用密码进行身份验证
EAP-MSCHAPv2 - 使用三次握手验证对等体的身份。 先对客户端、再对服务器进行身份
验证。 如果服务器需要先于客户端进行身份验证(如为了防御字典攻击),则必须配置
验证。 如果服务器需要先于客户端进行身份验证(如为了防御字典攻击),则必须配置
PEAP 以验证服务器的证书。 使用基于密码的 NT 哈希值的质询响应方法,需要在身份验
证器数据库中存储明文密码或至少存储密码的 NT 哈希值。
证器数据库中存储明文密码或至少存储密码的 NT 哈希值。
EAP-GTC(EAP 通用令牌卡)- 定义 EAP 信封以承载用户名和密码。 如果需要相互身份
验证,则必须配置 PEAP以验证服务器的证书。由于密码以明文传递到身份验证器,可以
使用此协议对照包含哈希值密码的数据库进行身份验证。 如果存在数据库泄露的可能,建
议使用此方法。
验证,则必须配置 PEAP以验证服务器的证书。由于密码以明文传递到身份验证器,可以
使用此协议对照包含哈希值密码的数据库进行身份验证。 如果存在数据库泄露的可能,建
议使用此方法。
• EAP-TLS,使用证书
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
153
配置网络访问管理器
Networks,User or Machine Authentication 页面