Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
网络访问管理器、身份验证器和 EAP-GTC 协议均无法区分密码和令牌代码。 这
些选项只影响网络访问管理器中凭证的生命期。 虽然可在注销前或更长时间内
记住密码,但不能记住令牌代码(因为每次身份验证时都提示用户输入令牌代
码)。
些选项只影响网络访问管理器中凭证的生命期。 虽然可在注销前或更长时间内
记住密码,但不能记住令牌代码(因为每次身份验证时都提示用户输入令牌代
码)。
如果使用密码进行身份验证,可以使用此协议对照包含哈希值密码的数据库进
行身份验证,因为密码以明文传递到身份验证器。如果存在数据库泄露的可能,
建议使用此方法。
行身份验证,因为密码以明文传递到身份验证器。如果存在数据库泄露的可能,
建议使用此方法。
注释
EAP-TLS
EAP 传输层安全 (EAP-TLS) 是基于 TLS 协议 (RFC 2246) 的 IEEE 802.1X EAP 身份验证算法。 TLS
使用基于 X.509 数字证书的相互身份验证。 EAP-TLS 消息交换提供相互身份验证、加密套件协商、
密钥交换、客户端与身份验证服务器之间的身份验证以及可用于流量加密的密钥材料。
使用基于 X.509 数字证书的相互身份验证。 EAP-TLS 消息交换提供相互身份验证、加密套件协商、
密钥交换、客户端与身份验证服务器之间的身份验证以及可用于流量加密的密钥材料。
下面的列表提供了 EAP-TLS 客户端证书可为有线和无线连接提供强身份验证的主要原因:
• 身份验证自动进行,通常无需用户干预。
• 不存在对用户密码的依赖性。
• 数字证书提供强身份验证保护。
• 使用公共密钥加密保护消息交换。
• 证书不易受字典攻击。
• 身份验证过程会为数据加密和签名生成相互确定的密钥。
EAP-TLS 包含两个选项:
• Validate Server Certificate - 启用服务器证书验证。
• Enable Fast Reconnect - 启用 TLS 会话恢复,只要 TLS 会话数据同时保存在客户端和服务器上,
就允许使用简短的 TLS 握手进行快得多的重新身份验证。
对于计算机连接身份验证,Disable When Using a Smart Card 选项不可用。
注释
EAP-TTLS
EAP 隧道传输层安全 (EAP-TTLS) 是扩展 EAP-TLS 功能的两阶段协议。 第 1 阶段执行完整 TLS 会
话,并生成用于在第 2 阶段安全地在服务器与客户端之间隧道化属性的会话密钥。 您可以使用在第
2 阶段隧道化的属性通过多种不同机制执行其他身份验证。
话,并生成用于在第 2 阶段安全地在服务器与客户端之间隧道化属性的会话密钥。 您可以使用在第
2 阶段隧道化的属性通过多种不同机制执行其他身份验证。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
151
配置网络访问管理器
Networks,User or Machine Authentication 页面