Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide

• RADIUS SDI 指安全网关使用 RADIUS SDI 代理（与 SDI 服务器通信）执行 SDI 身份验证的过

程。

对于远程用户而言，本地 SDI 和 RADIUS SDI 看起来是相同的。 由于 SDI 消息在 SDI 服务器上可配
置，ASA 上的消息文本必须与 SDI 服务器上的消息文本匹配。 否则，向远程客户端用户显示的提示
可能不适合身份验证过程中所需的操作。 AnyConnect 可能无法响应，并且身份验证可能失败。

RADIUS SDI 质询基本上反映本地 SDI 交换，仅有极少例外。 因为两者最终都与 SDI 服务器进行通
信，需从客户端获取的信息和索取信息的顺序相同。

在身份验证过程中，RADIUS 服务器向 ASA 提供访问质询消息。 在这些质询消息中，有包含来自
SDI 服务器文本的回复消息。 ASA 直接与某 SDI 服务器通信时的消息文本与通过 RADIUS 代理通信
时的消息文本不同。 因此，为了向 AnyConnect 显示为本地 SDI 服务器，ASA 必须解析来自 RADIUS
服务器的消息。

此外，由于 SDI 消息在 SDI 服务器上可配置，ASA 的消息文本必须与 SDI 服务器的消息文本（全部
或部分）匹配。 否则，向远程客户端用户显示的提示可能不适合身份验证过程中所需的操作。

AnyConnect 可能无法响应，并且身份验证可能失败。

配置 ASA 以支持 RADIUS/SDI 消息

要配置 ASA 以解释特定于 SDI 的 RADIUS 回复消息并提示 AnyConnect 用户执行相应的操作，您必
须配置连接配置文件（隧道组），以模拟与 SDI 服务器直接通信的方式转发 RADIUS 回复消息。 向
SDI 服务器进行身份验证的用户必须通过此连接配置文件进行连接。

过程

步骤 1 转到 Configuration（配置） > Remote Access VPN（远程访问 VPN） > Network (Client) Access（网

络 (客户端) 访问） > AnyConnect Connection Profiles（AnyConnect 连接配置文件）。

步骤 2 选择要配置来解释特定于 SDI 的 RADIUS 回复消息的连接配置文件，然后点击 Edit（编辑）。

步骤 3 在 Edit AnyConnect Connection Profile（编辑 AnyConnect 连接配置文件）窗口中，展开左侧导航

窗格中的 Advanced（高级）节点，然后选择 Group Alias / Group URL（组别名/组 URL）。

步骤 4 选中 Enable the display of SecurID messages on the login screen（启用在登录屏幕上显示 SecurID 消

息）。

步骤 5 点击 OK（确定）。

步骤 6 选择 Configuration（配置） > Remote Access VPN（远程访问 VPN） > AAA/Local Users（AAA/本

地用户） > AAA Server Groups（AAA 服务器组）。

步骤 7 点击 Add（添加）以添加 AAA 服务器组。

步骤 8 在 Edit AAA Server Group（编辑 AAA 服务器组）对话框中配置 AAA 服务器组，然后点击 OK（确

定）。

步骤 9 在 AAA Server Groups（AAA 服务器组）区域中，选择您刚刚创建的 AAA 服务器组，然后点击

Servers in the Selected Group（所选组中的服务器）区域中的 Add（添加）。

步骤 10 在 SDI 消息区域中，展开 Message Table（消息表）区域。 双击消息文本字段以编辑消息。 在 ASA

上配置 RADIUS 回复消息文本以匹配（全部或部分）RADIUS 服务器发送的消息文本。

Cisco AnyConnect 安全移动客户端管理员指南，4.0 版

配置 VPN 接入

使用 SDI 令牌 (SoftID) 集成进行 VPN 身份验证