Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
EAP-FAST 将 TLS 消息封装在 EAP 内,包括三个协议阶段:
1
调配阶段 - 使用经过身份验证的 Diffie-Hellman 协议 (ADHP) 调配具有名为保护访问凭证 (PAC)
的共享加密凭证的客户端。
的共享加密凭证的客户端。
2
隧道建立阶段 - 使用 PAC 建立隧道。
3
身份验证阶段 - 身份验证服务器对用户凭证(令牌、用户名/密码或数字证书)进行身份验证。
与其他隧道 EAP 方法不同,EAP-FAST 提供内部和外部方法之间的加密绑定,可防御特殊类别的中
间人攻击,在这类攻击中,攻击者可劫持有效用户的连接。
间人攻击,在这类攻击中,攻击者可劫持有效用户的连接。
配置 EAP-FAST
• EAP-FAST 设置
Validate Server Identity - 启用服务器证书验证。 启用此选项会在管理实用程序中引入两个
额外的对话框,并且在网络访问管理器配置文件编辑器任务列表中添加额外的证书窗格。
额外的对话框,并且在网络访问管理器配置文件编辑器任务列表中添加额外的证书窗格。
如果启用此选项,请确保在 RADIUS 服务器上安装的服务器证书中包含服务器
身份验证的扩展密钥用法 (EKU)。 当 RADIUS 服务器在身份验证期间将其配置
的证书发送到客户端时,必须对网络访问和身份验证使用此服务器身份验证设
置。
身份验证的扩展密钥用法 (EKU)。 当 RADIUS 服务器在身份验证期间将其配置
的证书发送到客户端时,必须对网络访问和身份验证使用此服务器身份验证设
置。
注释
Enable Fast Reconnect - 启用会话恢复。 用来在 EAP-FAST 中恢复身份验证会话的两种机
制是用户授权 PAC(用于代替内部身份验证)和 TLS 会话恢复(用于允许简化的外部 TLS
握手)。 此 Enable Fast Reconnect 参数可启用或禁用这两种机制。 验证方决定具体使用哪
一种机制。
制是用户授权 PAC(用于代替内部身份验证)和 TLS 会话恢复(用于允许简化的外部 TLS
握手)。 此 Enable Fast Reconnect 参数可启用或禁用这两种机制。 验证方决定具体使用哪
一种机制。
计算机 PAC 提供简化的 TLS 握手,无需内部身份验证。 此控制通过启用/禁用
PAC 参数来处理。
PAC 参数来处理。
注释
Disable When Using a Smart Card 选项仅适用于用户连接授权。
注释
• Inner methods based on Credentials Source - 可让您使用密码或证书进行身份验证。
使用 EAP-MSCHAPv2 或 EAP-GTC 的密码进行身份验证。 EAP-MSCHAPv2 提供相互身
份验证,但它先对客户端、再对服务器进行身份验证。 如果要在相互身份验证中先对服务
器进行身份验证,请配置 EAP-FAST 只用于经过身份验证的调配,并且验证服务器的证
书。 EAP-MSCHAPv2 使用基于密码的 NT 哈希值的质询-响应方法,它要求您在验证方的
数据库中存储明文密码或至少 NT 哈希值形式的密码。 由于密码在 EAP-GTC 中以明文形
式传递给验证方,因此您可以使用此协议根据数据库进行身份验证。
份验证,但它先对客户端、再对服务器进行身份验证。 如果要在相互身份验证中先对服务
器进行身份验证,请配置 EAP-FAST 只用于经过身份验证的调配,并且验证服务器的证
书。 EAP-MSCHAPv2 使用基于密码的 NT 哈希值的质询-响应方法,它要求您在验证方的
数据库中存储明文密码或至少 NT 哈希值形式的密码。 由于密码在 EAP-GTC 中以明文形
式传递给验证方,因此您可以使用此协议根据数据库进行身份验证。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
155
配置网络访问管理器
Networks,User or Machine Authentication 页面