Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
使用 SDI 令牌 (SoftID) 集成进行 VPN 身份验证
AnyConnect 支持在 Windows 7 x86(32 位)和 x64(64 位)上运行 RSA SecurID 客户端软件 1.1 版
和更高版本。
和更高版本。
RSA SecurID 软件验证器可减少用户为确保企业资产访问安全而需要管理的项目数量。 远程设备上
的 RSA SecurID 软件令牌将生成一个随机的一次性验证码,该验证码每 60 秒变更一次。 术语 SDI
的全称是 Security Dynamics, Inc. 技术,指代这一项使用硬件和软件令牌的一次性密码生成技术。
的 RSA SecurID 软件令牌将生成一个随机的一次性验证码,该验证码每 60 秒变更一次。 术语 SDI
的全称是 Security Dynamics, Inc. 技术,指代这一项使用硬件和软件令牌的一次性密码生成技术。
通常情况下,用户通过点击工具托盘中的 AnyConnect 图标、选择希望连接的连接配置文件,并在身
份验证对话框中输入适当的凭证来建立 AnyConnect 连接。 登录(质询)对话框将匹配为用户所在
的隧道组配置的身份验证类型。 登录对话框中的输入字段可明确表明身份验证需要哪类输入。
份验证对话框中输入适当的凭证来建立 AnyConnect 连接。 登录(质询)对话框将匹配为用户所在
的隧道组配置的身份验证类型。 登录对话框中的输入字段可明确表明身份验证需要哪类输入。
对于 SDI 身份验证,远程用户需要在 AnyConnect 软件界面中输入 PIN(个人识别码)并接收 RSA
SecurID 验证码。 用户在安全应用中输入验证码后,RSA Authentication Manager 将验证该验证码并
准许用户获得访问权限。
SecurID 验证码。 用户在安全应用中输入验证码后,RSA Authentication Manager 将验证该验证码并
准许用户获得访问权限。
使用 RSA SecurID 硬件或软件令牌的用户将看到输入字段,这些字段指示用户应输入验证码或 PIN,
PIN 或验证码以及对话框底部的状态行可提供更多要求信息。 用户可在 AnyConnect 用户界面中直接
输入软件令牌 PIN 或验证码。
PIN 或验证码以及对话框底部的状态行可提供更多要求信息。 用户可在 AnyConnect 用户界面中直接
输入软件令牌 PIN 或验证码。
初始登录对话框的外观由安全网关设置决定:用户可通过主登录页面、主索引 URL、隧道组登录页
面或隧道组URL(URL/隧道组)访问安全网关。要通过主登录页面访问安全网关,则必须在“Network
(Client) Access AnyConnect Connection Profiles(网络(客户端)接入 AnyConnect 连接配置文件)”页
面上选中“Allow user to select connection(允许用户选择连接)”复选框。 在任何一种情况中,安
全网关都会向客户端发送登录页面。 主登录页面具有可供用户选择隧道组的下拉列表;由于在 URL
中指定隧道组,隧道组登录页面不含下拉列表。
面或隧道组URL(URL/隧道组)访问安全网关。要通过主登录页面访问安全网关,则必须在“Network
(Client) Access AnyConnect Connection Profiles(网络(客户端)接入 AnyConnect 连接配置文件)”页
面上选中“Allow user to select connection(允许用户选择连接)”复选框。 在任何一种情况中,安
全网关都会向客户端发送登录页面。 主登录页面具有可供用户选择隧道组的下拉列表;由于在 URL
中指定隧道组,隧道组登录页面不含下拉列表。
在主登录页面(具有连接配置文件或隧道组的下拉列表)上,默认隧道组的身份验证类型将决定密
码输入字段标签的初始设置。 例如,如果默认隧道组使用 SDI身份验证,则字段标签为“验证码”,
但如果默认隧道组使用 NTLM 身份验证,字段标签为“密码”。在 2.1 版及更高版本中,字段标签
不会因用户选择不同的隧道组而动态更新。 对于隧道组登录页面,字段标签将与隧道组要求匹配。
码输入字段标签的初始设置。 例如,如果默认隧道组使用 SDI身份验证,则字段标签为“验证码”,
但如果默认隧道组使用 NTLM 身份验证,字段标签为“密码”。在 2.1 版及更高版本中,字段标签
不会因用户选择不同的隧道组而动态更新。 对于隧道组登录页面,字段标签将与隧道组要求匹配。
客户端支持在密码输入字段中输入 RSA SecurID 软件令牌 PIN。 如果安装了 RSA SecurID 令牌软件,
且隧道组身份验证类型为 SDI,则字段标签是“验证码”,且状态栏显示“Enter a username and
passcode or software token PIN.(输入用户名和验证码或软件令牌 PIN。)”。如果使用 PIN,则同一
隧道组和用户名的后续连续登录都将显示“PIN”字段标签。客户端将使用输入的 PIN 从 RSA SecurID
软件令牌 DLL 检索验证码。 每次身份验证成功后,客户端均会保存隧道组、用户名以及身份验证类
型,保存的隧道组将成为新的默认隧道组。
且隧道组身份验证类型为 SDI,则字段标签是“验证码”,且状态栏显示“Enter a username and
passcode or software token PIN.(输入用户名和验证码或软件令牌 PIN。)”。如果使用 PIN,则同一
隧道组和用户名的后续连续登录都将显示“PIN”字段标签。客户端将使用输入的 PIN 从 RSA SecurID
软件令牌 DLL 检索验证码。 每次身份验证成功后,客户端均会保存隧道组、用户名以及身份验证类
型,保存的隧道组将成为新的默认隧道组。
AnyConnect 接受针对任意 SDI 身份验证的验证码。 即使密码输入标签为“PIN”,用户仍可按照状
态栏的指示输入验证码。客户端将按照原样向安全网关发送验证码。 如果使用验证码,则针对同一
隧道组和用户名的后续连续登录都将包含“验证码”字段标签。
态栏的指示输入验证码。客户端将按照原样向安全网关发送验证码。 如果使用验证码,则针对同一
隧道组和用户名的后续连续登录都将包含“验证码”字段标签。
RSASecureIDIntegration 配置文件设置有三个可能的值:
• 自动 - 客户端首先尝试一种方法,如果失败,则尝试另一种方法。 默认将用户输入视为令牌验
证码 (HardwareToken),如果失败,则将其视为软件令牌 PIN (SoftwareToken)。 如果身份验证
成功,该成功方法将设置为新 SDI 令牌类型,并缓存在用户首选项文件中。 对于下一次身份验
证尝试,SDI 令牌类型将定义首先尝试的方法。 通常情况下,使用上一次成功身份验证尝试的
成功,该成功方法将设置为新 SDI 令牌类型,并缓存在用户首选项文件中。 对于下一次身份验
证尝试,SDI 令牌类型将定义首先尝试的方法。 通常情况下,使用上一次成功身份验证尝试的
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
132
配置 VPN 接入
使用 SDI 令牌 (SoftID) 集成进行 VPN 身份验证