Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
PIN 保留时间绝不能超过证书本身的保留时间。
某些智能卡连接所需时间可能比其他智能卡更长,这取决于智能卡芯片和驱动程序(也称为
加密服务提供程序 (CSP) 和密钥存储提供程序 (KSP))。 增加连接超时可能给网络足够时间
来执行基于智能卡的身份验证。
加密服务提供程序 (CSP) 和密钥存储提供程序 (KSP))。 增加连接超时可能给网络足够时间
来执行基于智能卡的身份验证。
注释
配置计算机凭证
EAP 对话可能涉及多种 EAP 身份验证方法,其中每种身份验证要求的身份可能不同(例如先是计算
机身份验证,然后是用户身份验证)。 例如,对等成员最初可能要求 nouser@example.com 的身份来
将身份验证请求路由到 cisco.com EAP 服务器。 但是,一旦 TLS 会话经过协商,对等成员就可能要
求 johndoe@example.com 的身份。 因此,即使通过用户的身份提供保护,目标领域也不一定匹配,
除非对话在本地身份验证服务器上终止。
机身份验证,然后是用户身份验证)。 例如,对等成员最初可能要求 nouser@example.com 的身份来
将身份验证请求路由到 cisco.com EAP 服务器。 但是,一旦 TLS 会话经过协商,对等成员就可能要
求 johndoe@example.com 的身份。 因此,即使通过用户的身份提供保护,目标领域也不一定匹配,
除非对话在本地身份验证服务器上终止。
对于计算机连接,只要使用 [username] 和 [domain] 占位符,以下条件即适用:
• 如果客户端证书用于身份验证 - 从各 X509 证书属性获取 [username] 和 [password] 的占位符值。
根据首次匹配按下述顺序分析属性。 例如,如果对于用户身份验证来说身份是 userA@cisco.com
(其中 username=userA,domain=cisco.com),对于计算机身份验证来说是 hostA.cisco.com(其
中 username=hostA,domain=cisco.com),则分析以下属性:
(其中 username=userA,domain=cisco.com),对于计算机身份验证来说是 hostA.cisco.com(其
中 username=hostA,domain=cisco.com),则分析以下属性:
• 如果是基于用户证书的身份验证:
SubjectAlternativeName: UPN = userA@example.com
Subject = .../CN=userA@example.com/...
Subject = userA@example.com
Subject = .../CN=userA/DC=example.com/...
Subject = userA (no domain)
• 如果是基于计算机证书的身份验证:
SubjectAlternativeName: DNS = hostA.example.com
Subject = .../DC=hostA.example.com/...
Subject = .../CN=hostA.example.com/...
Subject = hostA.example.com
• 如果客户端证书不用于身份验证 - 从操作系统获取凭证,[username] 占位符代表分配的计算机
名称。
使用凭证面板,可以指定所需的计算机凭证。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
159
配置网络访问管理器
Networks,User or Machine Authentication 页面