Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
• 消息加密
• 服务器到客户端的身份验证
可以使用以下身份验证方法:
• 使用密码进行身份验证
EAP-MSCHAPv2 - 使用三向握手来验证对等方的身份。 先对客户端、再对服务器进行身
份验证。 如果服务器需要先于客户端进行身份验证(如为了防御字典攻击),则必须配置
份验证。 如果服务器需要先于客户端进行身份验证(如为了防御字典攻击),则必须配置
PEAP 以验证服务器的证书。 使用基于密码的 NT 哈希值的质询响应方法,需要在身份验
证器数据库中存储明文密码或至少存储密码的 NT 哈希值。
证器数据库中存储明文密码或至少存储密码的 NT 哈希值。
EAP-GTC(EAP 通用令牌卡)- 定义 EAP 信封以承载用户名和密码。 如果需要相互身份
验证,则必须配置 PEAP以验证服务器的证书。由于密码以明文传递到身份验证器,可以
使用此协议对照包含哈希值密码的数据库进行身份验证。 如果存在数据库泄露的可能,建
议使用此方法。
验证,则必须配置 PEAP以验证服务器的证书。由于密码以明文传递到身份验证器,可以
使用此协议对照包含哈希值密码的数据库进行身份验证。 如果存在数据库泄露的可能,建
议使用此方法。
• EAP-TLS,使用证书
EAP-TLS - 定义 EAP 信封以承载用户证书。 为避免中间人攻击(劫持有效用户的连接),
建议不要将 PEAP (EAP-TLS) 和 EAP-TLS 配置文件混合在一起向同一身份验证器进行身
份验证。 应相应地配置身份验证器(不同时启动普通和隧道 EAP-TLS)。
建议不要将 PEAP (EAP-TLS) 和 EAP-TLS 配置文件混合在一起向同一身份验证器进行身
份验证。 应相应地配置身份验证器(不同时启动普通和隧道 EAP-TLS)。
配置 PEAP
• PEAP-EAP 设置
Validate Server Identity(验证服务器身份)- 启用服务器证书验证。
如果启用此选项,请确保 RADIUS 服务器上安装的服务器证书包含 Server
Authentication(服务器身份验证)的扩展密钥使用 (EKU)。 当 RADIUS 服务器
在身份验证期间将其配置的证书发送到客户端时,必须对网络访问和身份验证
使用此 Server Authentication(服务器身份验证)设置。
Authentication(服务器身份验证)的扩展密钥使用 (EKU)。 当 RADIUS 服务器
在身份验证期间将其配置的证书发送到客户端时,必须对网络访问和身份验证
使用此 Server Authentication(服务器身份验证)设置。
注释
Enable Fast Reconnect(启用快速重新连接)- 仅启用外部 TLS 会话恢复。 验证器控制是否
跳过内部身份验证。
跳过内部身份验证。
Disable when using a smart card(在使用智能卡时禁用)- 在使用智能卡进行身份验证时,
请勿使用“快速重新连接”。 智能卡仅适用于用户连接。
请勿使用“快速重新连接”。 智能卡仅适用于用户连接。
Authenticate using a token and EAP GTC(使用令牌和 EAP GTC 进行身份验证)- 对机器身
份验证不可用。
份验证不可用。
• 基于凭证源的内部方法
使用 EAP-MSCHAPv2 和/或 EAP-GTC 的密码进行身份验证。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
154
配置网络访问管理器
Networks(网络)窗口的 User or Machine Authentication(用户或机器身份验证)页面