Cisco Cisco AnyConnect Secure Mobility Client v3.x Leaflet
이 옵션을 활성화한 경우 RADIUS 서버에 설치된 서버 인증서에 서버 인증의
EKU(Extended Key Usage, 확장 키 사용)가 포함되었는지 확인하십시오. RADIUS
서버가 인증 중에 구성한 인증서를 클라이언트에 전송하는 경우, 인증서에는 네
트워크 액세스 및 인증을 위한 이 서버 인증 설정이 포함되어야 합니다.
EKU(Extended Key Usage, 확장 키 사용)가 포함되었는지 확인하십시오. RADIUS
서버가 인증 중에 구성한 인증서를 클라이언트에 전송하는 경우, 인증서에는 네
트워크 액세스 및 인증을 위한 이 서버 인증 설정이 포함되어야 합니다.
참고
◦ 빠른 재연결 활성화 — 내부 인증을 건너뛸지 또는 인증자가 제어하는지 관계 없이 외부
TLS 세션 재개만 활성화합니다.
Disable When Using a Smart Card(스마트카드 사용 시 비활성화)는 머신 연결 인
증에서 사용할 수 없습니다.
증에서 사용할 수 없습니다.
참고
• 내부 방법 — TLS 터널이 생성된 후에 사용되는 내부 방법을 지정합니다. Wi-Fi 미디어 유형에
만 사용할 수 있습니다.
PEAP 옵션
PEAP(Protected EAP, 보호된 EAP)는 터널링 TLS 기반의 EAP 방법입니다. 내부 인증 방법의 암호화
를 위해 클라이언트 인증 전 서버 인증에 TLS를 사용합니다. 내부 인증은 신뢰할 수 있는 암호로 보
호된 터널 내부에서 발생하고 인증서, 토큰 및 비밀번호를 포함하여 여러 다른 내부 인증 방법을 지
원합니다. Network Access Manager는 PEAP 인증 도중 사용된 내부 및 외부 방법의 암호화 바인딩을
지원하지 않습니다. 암호화 바인딩이 필요한 경우 EAP-FAST를 사용해야 합니다. 암호화 바인딩은
공격자가 자격 증명 정보를 모르는 상태에서 사용자의 연결을 가로채는 중간자 공격(Man-in-the-Middle
Attack)의 특수 클래스로부터 보호합니다.
를 위해 클라이언트 인증 전 서버 인증에 TLS를 사용합니다. 내부 인증은 신뢰할 수 있는 암호로 보
호된 터널 내부에서 발생하고 인증서, 토큰 및 비밀번호를 포함하여 여러 다른 내부 인증 방법을 지
원합니다. Network Access Manager는 PEAP 인증 도중 사용된 내부 및 외부 방법의 암호화 바인딩을
지원하지 않습니다. 암호화 바인딩이 필요한 경우 EAP-FAST를 사용해야 합니다. 암호화 바인딩은
공격자가 자격 증명 정보를 모르는 상태에서 사용자의 연결을 가로채는 중간자 공격(Man-in-the-Middle
Attack)의 특수 클래스로부터 보호합니다.
PEAP는 다음과 같은 서비스를 제공하여 EAP 방법을 보호합니다.
• EAP 패킷에 대한 TLS 터널 생성
• 메시지 인증
• 메시지 암호화
• 클라이언트에 대한 서버 인증
다음과 같은 인증 방법을 사용할 수 있습니다.
• 비밀번호를 사용하여 인증
◦ EAP-MSCHAPv2 — 피어의 ID를 확인하기 위해 3방향 핸드셰이크를 사용합니다. 클라이
언트는 서버보다 먼저 인증됩니다. 사전 공격(Dictionary Attack) 방지 등을 위해 클라이언
트보다 먼저 서버를 인증해야 하는 경우, 서버의 인증서를 확인하도록 PEAP를 구성해야
합니다. 비밀번호의 NT 해시를 기반으로 시도 응답 방법을 사용하려면 인증자 데이터베이
스에 암호화되지 않은 텍스트 비밀번호 또는 최소한 비밀번호의 NT 해시를 저장해야 합니
다.
트보다 먼저 서버를 인증해야 하는 경우, 서버의 인증서를 확인하도록 PEAP를 구성해야
합니다. 비밀번호의 NT 해시를 기반으로 시도 응답 방법을 사용하려면 인증자 데이터베이
스에 암호화되지 않은 텍스트 비밀번호 또는 최소한 비밀번호의 NT 해시를 저장해야 합니
다.
Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.1
173
Network Access Manager 구성
네트워크, 사용자 또는 머신 인증 페이지