Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
如果使用基于密码的内部方法,可使用一个额外的选项来允许未经身份验证的 PAC 调配。
Authenticate using a certificate - 决定使用证书进行身份验证的以下条件:收到请求时,以
明文形式发送客户端证书,仅在隧道内发送客户端证书,或者使用 EAP-TLS 在隧道中发
送客户端证书。
明文形式发送客户端证书,仅在隧道内发送客户端证书,或者使用 EAP-TLS 在隧道中发
送客户端证书。
使用令牌和 EAP-GTC 进行身份验证。
• Use PACs - 可以指定使用 PAC 进行 EAP-FAST 身份验证。 PAC 是分发给客户端以优化网络身
份验证的凭证。
通常使用 PAC 选项,因为大多数身份验证服务器对 EAP-FAST 使用 PAC。 在
删除此选项之前,请验证身份验证服务器不对 EAP-FAST 使用 PAC;否则,客
户端的身份验证尝试不会成功。 如果身份验证服务器支持经过身份验证的 PAC
调配,思科建议您禁用未经身份验证的调配。 未经身份验证的调配不验证服务
器的证书,可能允许入侵者发动基于字典的攻击。
删除此选项之前,请验证身份验证服务器不对 EAP-FAST 使用 PAC;否则,客
户端的身份验证尝试不会成功。 如果身份验证服务器支持经过身份验证的 PAC
调配,思科建议您禁用未经身份验证的调配。 未经身份验证的调配不验证服务
器的证书,可能允许入侵者发动基于字典的攻击。
注释
您可以选择 PAC Files 窗格并点击 Add,手动提供一个或多个特定的 PAC 文件进行分发和身份
验证。 您还可以突出显示 PAC 文件,然后点击 Remove 从列表中删除该 PAC 文件。
验证。 您还可以突出显示 PAC 文件,然后点击 Remove 从列表中删除该 PAC 文件。
Password protected - 如果 PAC 已经以受密码保护的形式导出,请选中 Password Protected 复选
框并提供与 PAC 加密密码匹配的密码。
框并提供与 PAC 加密密码匹配的密码。
LEAP 设置
LEAP(轻量级 EAP)支持无线网络。 它基于可扩展身份验证协议 (EAP) 框架,由思科开发,旨在
创建比 WEP 更安全的协议。
创建比 WEP 更安全的协议。
LEAP 容易受到字典攻击,除非实施强密码并定期使密码过期。 思科建议使用 EAP-FAST、PEAP
或 EAP-TLS,它们的身份验证方法不易受字典攻击。
或 EAP-TLS,它们的身份验证方法不易受字典攻击。
注释
只能用于用户身份验证的 LEAP 设置:
• 注销后延长用户连接 - 用户注销后保持连接打开状态。 如果同一用户再次登录,网络连接仍处
于活动状态。
请参阅
以了解详细信息。
定义网络凭证
在 Networks > Credentials 窗格中,指定是否使用用户和/或机器凭证,并且配置受信任服务器验证规
则。
则。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
156
配置网络访问管理器
Networks,User or Machine Authentication 页面