Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
对于远程用户而言,本地 SDI 和 RADIUS SDI 看起来是相同的。 由于 SDI 消息在 SDI 服务器上可配
置,ASA 上的消息文本必须与 SDI 服务器上的消息文本匹配。 否则,向远程客户端用户显示的提示
可能不适合身份验证过程中所需的操作。 AnyConnect 可能无法响应,并且身份验证可能失败。
置,ASA 上的消息文本必须与 SDI 服务器上的消息文本匹配。 否则,向远程客户端用户显示的提示
可能不适合身份验证过程中所需的操作。 AnyConnect 可能无法响应,并且身份验证可能失败。
RADIUS SDI 质询基本上反映本地 SDI 交换,仅有极少例外情况。 因为两者最终都与 SDI 服务器进
行通信,需从客户端获取的信息和索取信息的顺序相同。
行通信,需从客户端获取的信息和索取信息的顺序相同。
在身份验证过程中,RADIUS 服务器向 ASA 显示访问质询消息。 这些质询消息中有包含来自 SDI
服务器的文本的应答消息。 ASA 直接与某 SDI 服务器通信时的消息文本与通过 RADIUS 代理通信
时的消息文本不同。 因此,为了向 AnyConnect 显示为本地 SDI 服务器,ASA 必须解析来自 RADIUS
服务器的消息。
服务器的文本的应答消息。 ASA 直接与某 SDI 服务器通信时的消息文本与通过 RADIUS 代理通信
时的消息文本不同。 因此,为了向 AnyConnect 显示为本地 SDI 服务器,ASA 必须解析来自 RADIUS
服务器的消息。
此外,由于 SDI 消息在 SDI 服务器上可配置,ASA 的消息文本必须与 SDI 服务器的消息文本(全部
或部分)匹配。 否则,向远程客户端用户显示的提示可能不适合身份验证过程中所需的操作。
或部分)匹配。 否则,向远程客户端用户显示的提示可能不适合身份验证过程中所需的操作。
AnyConnect 可能无法响应,并且身份验证可能失败。
配置 ASA 以支持 RADIUS/SDI 消息
要配置 ASA 以解释特定于 SDI 的 RADIUS 回复消息并提示 AnyConnect 用户执行相应的操作,您必
须配置连接配置文件(隧道组),以模拟与 SDI 服务器直接通信的方式转发 RADIUS 回复消息。 用
户对 SDI 服务器进行身份验证时,必须通过此连接配置文件进行连接。
须配置连接配置文件(隧道组),以模拟与 SDI 服务器直接通信的方式转发 RADIUS 回复消息。 用
户对 SDI 服务器进行身份验证时,必须通过此连接配置文件进行连接。
过程
步骤 1 转至 Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection
Profiles。
步骤 2 选择要配置来解释特定于 SDI 的 RADIUS 回复消息的连接配置文件,然后点击 Edit。
步骤 3 在 Edit AnyConnect Connection Profile 窗口中,展开左侧导航窗格中的 Advanced 节点,然后选择
Group Alias / Group URL。
步骤 4 选中 Enable the display of SecurID messages on the login screen。
步骤 5 点击 OK。
步骤 6 选择 Configuration > Remote Access VPN > AAA/Local Users > AAA Server Groups。
步骤 7 点击 Add 以添加 AAA 服务器组。
步骤 8 在 Edit AAA Server Group 对话框中配置 AAA 服务器组,然后点击 OK。
步骤 9 在 AAA Server Groups 区域,选择您刚刚创建的 AAA 服务器组,然后点击 Servers in the Selected
Group 区域中的 Add。
步骤 10 在 SDI 消息区域中,展开 Message Table 区域。 双击消息文本字段以编辑消息。 在 ASA 上配置
RADIUS 回复消息文本以匹配(全部或部分)RADIUS 服务器发送的消息文本。
下表显示消息代码、默认 RADIUS 回复消息文本和每个消息的功能:
下表显示消息代码、默认 RADIUS 回复消息文本和每个消息的功能:
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
135
配置 VPN 接入
使用 SDI 令牌 (SoftID) 集成进行 VPN 身份验证