Cisco Cisco AnyConnect Secure Mobility Client v4.x Leaflet

PIN은 인증서보다 오래 보관되지 않습니다.

일부 스마트카드는 스마트카드 칩과 드라이버에 따라 다른 방법에 비해 연결하는 데 시간이
오래 걸릴 수 있으며 CSP(Cryptographic Service Provider, 암호화 서비스 공급자) 및 KSP(Key
Storage Provider, 주요 스토리지 공급자)라고도 합니다. 연결 시간 제한을 늘리면 네트워크에
서 스마트카드 기반 인증을 수행하는 데 충분한 시간을 제공할 수 있습니다.

참고

머신 자격 증명 구성

EAP 대화에 두 개 이상의 EAP 인증 방법이 포함될 수 있으며 해당 인증 각각에 대해 요청되는 ID는
다를 수 있습니다(예: 머신 인증 후 사용자 인증). 예를 들어 피어는 nouser@example.com의 ID가 인증
요청을 cisco.com EAP 서버로 라우팅하도록 처음에 요청할 수 있습니다. 하지만 TLS 세션이 협상되
면 피어가 johndoe@example.com의 ID를 요청할 수 있습니다. 따라서 사용자의 ID를 통해 보호 기능
이 제공되는 경우에도 로컬 인증 서버에서 대화가 종료되지 않는 한 대상 영역이 반드시 일치할 필요
는 없습니다.

머신 연결의 경우 [username] 및 [domain] 자리 표시자를 사용하면 다음 조건이 적용됩니다.

• 클라이언트 인증서가 인증에 사용되는 경우 — 다양한 X509 인증서 속성에서 [username] 및

[password]에 대한 자리 표시자 값을 가져옵니다. 속성은 첫 번째 일치 항목에 따라 아래 설명된
순서대로 분석됩니다. 예를 들어, ID가 사용자 인증용으로 userA@cisco.com(username=userA 및
domain=cisco.com)이며 머신 인증용으로 hostA.cisco.com(username=hostA 및 domain=cisco.com)
인 경우, 다음 속성이 분석됩니다.

• 사용자 인증서 기반 인증의 경우:

◦ SubjectAlternativeName: UPN = userA@example.com

◦ Subject = .../CN=userA@example.com/...

◦ Subject = userA@example.com

◦ Subject = .../CN=userA/DC=example.com/...

◦ Subject = userA(도메인 없음)

• 머신 인증서 기반 인증의 경우:

◦ SubjectAlternativeName: DNS = hostA.example.com

◦ Subject = .../DC=hostA.example.com/...

◦ Subject = .../CN=hostA.example.com/...

◦ Subject = hostA.example.com

• 클라이언트 인증서가 인증에 사용되지 않는 경우 — 운영 체제에서 자격 증명을 가져옵니다. 이

때 [username] 자리 표시자는 할당된 머신 이름을 나타냅니다.

자격 증명 패널에서 원하는 머신 자격 증명을 지정할 수 있습니다.

Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.1

180

Network Access Manager 구성

네트워크, 사용자 또는 머신 인증 페이지