Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
配置用户凭证
EAP 对话可能涉及多种 EAP 身份验证方法,其中每种身份验证要求的身份可能不同(例如先是计算
机身份验证,然后是用户身份验证)。 例如,对等项最初可能声称身份为 nouser@cisco.com 以将身
份验证请求发送到 cisco.com EAP 服务器。 但是,一旦已协商 TLS 会话,对等项可能声称身份为
johndoe@cisco.com。 因此,即使通过用户的身份提供保护,目标领域也不一定匹配,除非对话在本
地身份验证服务器上终止。
机身份验证,然后是用户身份验证)。 例如,对等项最初可能声称身份为 nouser@cisco.com 以将身
份验证请求发送到 cisco.com EAP 服务器。 但是,一旦已协商 TLS 会话,对等项可能声称身份为
johndoe@cisco.com。 因此,即使通过用户的身份提供保护,目标领域也不一定匹配,除非对话在本
地身份验证服务器上终止。
对于用户连接,当使用了 [username] 和 [domain] 占位符模式时,适用以下条件:
• 如果客户端证书用于身份验证 - 从各 X509 证书属性获取 [username] 和 [password] 的占位符值。
根据首次匹配按下述顺序分析属性。 例如,如果对于用户身份验证,身份是 userA@example.com
(其中 username=userA 且 domain=example.com),对于计算机身份验证,身份是
hostA.example.com(其中 username=hostA 且 domain=example.com),将分析以下属性:
(其中 username=userA 且 domain=example.com),对于计算机身份验证,身份是
hostA.example.com(其中 username=hostA 且 domain=example.com),将分析以下属性:
• 如果是基于用户证书的身份验证:
SubjectAlternativeName: UPN = userA@example.com
Subject = .../CN=userA@example.com/...
Subject = userA@eample.com
Subject = .../CN=userA/DC=example/DC=com/...
Subject = userA (no domain)
• 如果是基于计算机证书的身份验证:
SubjectAlternativeName: DNS = hostA.example.com
Subject = .../DC=hostA.example.com/...
Subject = .../CN=hostA.example.com/...
Subject = hostA.example.com
• 如果凭证源是最终用户 - 从用户输入的信息获取占位符的值。
• 如果从操作系统获取证书 - 从登录信息获取占位符的值。
• 如果凭证是静态的 - 没有使用占位符。
在 Credentials 窗格中,您可以指定用于对关联网络进行身份验证所需的凭证。
过程
步骤 1 定义受保护身份模式的用户身份。 网络访问管理器支持以下身份占位符模式:
• [username] - 指定用户名。 如果用户输入 username@domain 或 domain\username,则域部分会被
剥离。
• [raw] - 完全按照用户的输入指定用户名。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
157
配置网络访问管理器
Networks,User or Machine Authentication 页面