Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
• Validate Server Certificate(验证服务器证书)- 启用服务器证书验证。
• Enable Fast Reconnect(启用快速重新连接)- 启用 TLS 会话恢复,只要 TLS 会话数据同时保存
在客户端和服务器上,就允许使用简短的 TLS 握手进行快得多的重新身份验证。
对于机器连接身份验证,Disable When Using a Smart Card(使用智能卡时禁用)
选项不可用。
选项不可用。
注释
EAP-TTLS
EAP 隧道传输层安全 (EAP-TTLS) 是扩展 EAP-TLS 功能的两阶段协议。 第 1 阶段执行完整 TLS 会
话,并生成用于在第 2 阶段安全地在服务器与客户端之间隧道化属性的会话密钥。 您可以使用在第
2 阶段隧道化的属性通过多种不同机制执行附加身份验证。
话,并生成用于在第 2 阶段安全地在服务器与客户端之间隧道化属性的会话密钥。 您可以使用在第
2 阶段隧道化的属性通过多种不同机制执行附加身份验证。
网络访问管理器不支持在 EAP-TTLS 身份验证期间使用的内部和外部方法加密绑定。 如果需要加密
绑定,则必须使用 EAP-FAST。 加密绑定可防御特殊类别的中间人攻击,在这类攻击中,攻击者无
需知道凭证就可以劫持用户的连接。
绑定,则必须使用 EAP-FAST。 加密绑定可防御特殊类别的中间人攻击,在这类攻击中,攻击者无
需知道凭证就可以劫持用户的连接。
可以在第 2 阶段使用的身份验证机制包括以下协议:
• PAP(密码验证协议)- 使用双向握手为对等项提供证明其身份的简单方法。 对等项向身份验
证器重复发送ID/密码对,直至身份验证确认或失败。如果需要相互身份验证,必须将EAP-TTLS
配置为在第 1 阶段验证服务器证书。
配置为在第 1 阶段验证服务器证书。
由于密码传递到身份验证器,您可以使用此协议对照包含哈希值密码的数据库进行身份验证。
如果存在数据库泄露的可能,建议使用此方法。
如果存在数据库泄露的可能,建议使用此方法。
可以使用 EAP-TTLS PAP 进行基于令牌和基于 OTP 的身份验证。
注释
• CHAP(质询握手身份验证协议)- 使用三次握手验证对等项的身份。 如果需要相互身份验证,
应将 EAP-TTLS 配置为在第 1 阶段验证服务器证书。 使用此质询响应方法,需要在身份验证器
的数据库中存储明文密码。
的数据库中存储明文密码。
• MS-CHAP (Microsoft CHAP) - 使用三次握手验证对等项的身份。 如果需要相互身份验证,应将
EAP-TTLS 配置为在第 1 阶段验证服务器证书。 使用这个基于密码的 NT 哈希值的质询响应方
法,需要在身份验证器的数据库中存储明文密码或至少存储密码的 NT 哈希值。
法,需要在身份验证器的数据库中存储明文密码或至少存储密码的 NT 哈希值。
• MS-CHAPv2 - 通过在响应数据包中包含对等项质询以及在成功数据包中包含身份验证器响应来
提供对等项之间的相互身份验证。 先对客户端、再对服务器进行身份验证。 如果服务器需要
先于客户端进行身份验证(以防御字典攻击),应该将 EAP-TTLS 配置为在第 1 阶段验证服务
器证书。 使用这个基于密码的 NT 哈希值的质询响应方法,需要在身份验证器的数据库中存储
明文密码或至少存储密码的 NT 哈希值。
先于客户端进行身份验证(以防御字典攻击),应该将 EAP-TTLS 配置为在第 1 阶段验证服务
器证书。 使用这个基于密码的 NT 哈希值的质询响应方法,需要在身份验证器的数据库中存储
明文密码或至少存储密码的 NT 哈希值。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
152
配置网络访问管理器
Networks(网络)窗口的 User or Machine Authentication(用户或机器身份验证)页面