Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
EAP-TLS - 定义 EAP 信封以承载用户证书。 为避免中间人攻击(劫持有效用户的连接),
建议不要将 PEAP (EAP-TLS) 和 EAP-TLS 配置文件混合在一起向同一身份验证器进行身
份验证。 应相应地配置身份验证器(不同时启用普通和隧道 EAP-TLS)。
建议不要将 PEAP (EAP-TLS) 和 EAP-TLS 配置文件混合在一起向同一身份验证器进行身
份验证。 应相应地配置身份验证器(不同时启用普通和隧道 EAP-TLS)。
配置 PEAP
• PEAP-EAP 设置
Validate Server Identity - 启用服务器证书验证。
如果启用此选项,请确保在 RADIUS 服务器上安装的服务器证书中包含服务器
身份验证的扩展密钥用法 (EKU)。 当 RADIUS 服务器在身份验证期间将其配置
的证书发送到客户端时,必须对网络访问和身份验证使用此服务器身份验证设
置。
身份验证的扩展密钥用法 (EKU)。 当 RADIUS 服务器在身份验证期间将其配置
的证书发送到客户端时,必须对网络访问和身份验证使用此服务器身份验证设
置。
注释
Enable Fast Reconnect - 仅启用外部 TLS 会话恢复。 验证器控制是否跳过内部身份验证。
Disable when using a smart card - 在使用智能卡进行身份验证时,请勿使用“快速重新连
接”。 智能卡仅适用于用户连接。
接”。 智能卡仅适用于用户连接。
Authenticate using a token and EAP GTC - 对计算机身份验证不可用。
• 基于凭证源的内部方法
使用 EAP-MSCHAPv2 和/或 EAP-GTC 的密码进行身份验证。
EAP-TLS,使用证书进行身份验证。
使用令牌和 EAP-GTC 进行身份验证 - 对计算机身份验证不可用。
在用户登录之前,智能卡支持在 Windows 上不可用。
注释
EAP-FAST 设置
EAP-FAST 是 IEEE 802.1X 身份验证类型,可提供简单灵活的部署和管理。 它支持多种用户和密码
数据库类型、服务器发起的密码过期和更改以及数字证书(可选)。
数据库类型、服务器发起的密码过期和更改以及数字证书(可选)。
EAP-FAST 针对想要部署 IEEE 802.1X EAP 类型的客户而开发,该类型不使用证书但可防御字典攻
击。
击。
自 AnyConnect 3.1 起,配置计算机和用户连接时均支持 EAP 链。 这意味着网络访问管理器将验证计
算机和用户是否为已知实体且由公司管理,这对于控制用户拥有的连接到公司网络的资产来说非常
有用。 有关 EAP 链的详细信息,请参阅 RFC 3748。
算机和用户是否为已知实体且由公司管理,这对于控制用户拥有的连接到公司网络的资产来说非常
有用。 有关 EAP 链的详细信息,请参阅 RFC 3748。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
154
配置网络访问管理器
Networks,User or Machine Authentication 页面