Cisco Cisco AnyConnect Secure Mobility Client v3.x Leaflet
시스템 자격 증명 구성
EAP 대화에 두 개 이상의 EAP 인증 방법이 포함될 수 있으며 해당 인증 각각에 대해 요청되는 ID는
다를 수 있습니다(예: 컴퓨터 인증 후 사용자 인증). 예를 들어 피어는 nouser@example.com의 ID가 인
증 요청을 cisco.com EAP 서버로 라우팅하도록 처음에 요청할 수 있습니다. 하지만 TLS 세션이 협상
되면 피어가 johndoe@example.com의 ID를 요청할 수 있습니다. 따라서 사용자의 ID를 통해 보호 기
능이 제공되는 경우에도 로컬 인증 서버에서 대화가 종료되지 않는 한 대상 영역이 반드시 일치할 필
요는 없습니다.
다를 수 있습니다(예: 컴퓨터 인증 후 사용자 인증). 예를 들어 피어는 nouser@example.com의 ID가 인
증 요청을 cisco.com EAP 서버로 라우팅하도록 처음에 요청할 수 있습니다. 하지만 TLS 세션이 협상
되면 피어가 johndoe@example.com의 ID를 요청할 수 있습니다. 따라서 사용자의 ID를 통해 보호 기
능이 제공되는 경우에도 로컬 인증 서버에서 대화가 종료되지 않는 한 대상 영역이 반드시 일치할 필
요는 없습니다.
컴퓨터 연결의 경우 [username] 및 [domain] 자리 표시자를 사용하면 다음 조건이 적용됩니다.
• 클라이언트 인증서가 인증에 사용되는 경우 — 다양한 X509 인증서 속성에서 [username] 및
[password]에 대한 자리 표시자 값을 가져옵니다. 속성은 첫 번째 일치 항목에 따라 아래 설명된
순서대로 분석됩니다. 예를 들어, ID가 사용자 인증용으로 userA@cisco.com(username=userA 및
domain=cisco.com)이며 컴퓨터 인증용으로 hostA.cisco.com(username=hostA 및 domain=cisco.com)
인 경우, 다음 속성이 분석됩니다.
순서대로 분석됩니다. 예를 들어, ID가 사용자 인증용으로 userA@cisco.com(username=userA 및
domain=cisco.com)이며 컴퓨터 인증용으로 hostA.cisco.com(username=hostA 및 domain=cisco.com)
인 경우, 다음 속성이 분석됩니다.
• 사용자 인증서 기반 인증의 경우:
◦ SubjectAlternativeName: UPN = userA@example.com
◦ Subject = .../CN=userA@example.com/...
◦ Subject = userA@example.com
◦ Subject = .../CN=userA/DC=example.com/...
◦ Subject = userA(도메인 없음)
• 컴퓨터 인증서 기반 인증의 경우:
◦ SubjectAlternativeName: DNS = hostA.example.com
◦ Subject = .../DC=hostA.example.com/...
◦ Subject = .../CN=hostA.example.com/...
◦ Subject = hostA.example.com
• 클라이언트 인증서가 인증에 사용되지 않는 경우 — 운영 체제에서 자격 증명을 가져옵니다. 이
때 [username] 자리 표시자는 할당된 컴퓨터 이름을 나타냅니다.
자격 증명 패널에서 원하는 컴퓨터 자격 증명을 지정할 수 있습니다.
절차
단계 1 보호된 ID 패턴에 대해 컴퓨터 ID를 정의합니다. Network Access Manager가 다음의 ID 자리 표시자
패턴을 지원합니다.
Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.0
176
Network Access Manager 구성
네트워크, 사용자 또는 시스템 인증 페이지