Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
在新用户模式、清除 PIN 模式和新 PIN 模式中,AnyConnect 缓存用户创建的 PIN 或系统分配的 PIN,
供以后在“下一个验证码”登录质询中使用。
供以后在“下一个验证码”登录质询中使用。
从远程用户的角度来看,清除 PIN 模式和新用户模式是相同的,而且安全网关对两者同等对待。 在
这两种情况下,远程用户要么必须输入新 PIN,要么由 SDI 服务器分配一个新 PIN。 唯一的区别在
于对初始质询的用户响应。
这两种情况下,远程用户要么必须输入新 PIN,要么由 SDI 服务器分配一个新 PIN。 唯一的区别在
于对初始质询的用户响应。
对于新 PIN 模式,现有 PIN 用于生成验证码,就像在任何普通质询中一样。 对于清除 PIN 模式,根
本没有用于硬件令牌的 PIN,用户只输入令牌代码。 连续八个零 (00000000) 的 PIN 用于为 RSA 软
件令牌生成验证码。 无论哪种情况,SDI 服务器管理员都必须通知用户使用什么 PIN 值(如果有的
话)。
本没有用于硬件令牌的 PIN,用户只输入令牌代码。 连续八个零 (00000000) 的 PIN 用于为 RSA 软
件令牌生成验证码。 无论哪种情况,SDI 服务器管理员都必须通知用户使用什么 PIN 值(如果有的
话)。
将新用户添加到 SDI 服务器与清除现有用户的 PIN 结果相同。 在这两种情况下,用户必须提供新
PIN 或者由 SDI 服务器分配一个新 PIN。 在这些模式中,对于硬件令牌,用户只从 RSA 设备输入一
个令牌代码。 无论哪种情况,SDI 服务器管理员都必须通知用户使用什么 PIN 值(如果有的话)。
PIN 或者由 SDI 服务器分配一个新 PIN。 在这些模式中,对于硬件令牌,用户只从 RSA 设备输入一
个令牌代码。 无论哪种情况,SDI 服务器管理员都必须通知用户使用什么 PIN 值(如果有的话)。
创建新 PIN
如果没有当前 PIN,则 SDI 服务器要求满足以下条件之一(具体取决于系统的配置):
• 系统必须给用户分配一个新 PIN(默认值)
• 用户必须创建一个新 PIN
• 用户可以选择创建 PIN 或由系统分配 PIN
如果 SDI 服务器配置为允许远程用户选择创建 PIN 或由系统分配 PIN,则登录屏幕会提供一个下拉
列表,其中包含一些选项。 状态行提供提示消息。
列表,其中包含一些选项。 状态行提供提示消息。
对于系统分配的 PIN,如果 SDI 服务器接受用户在登录页面上输入的验证码,则安全网关会向客户
端发送系统分配的 PIN。 客户端向安全网关发送回响应,表示用户看到了新 PIN,系统继续“下一
个验证码”质询。
端发送系统分配的 PIN。 客户端向安全网关发送回响应,表示用户看到了新 PIN,系统继续“下一
个验证码”质询。
如果用户选择创建新 PIN,则 AnyConnect 会给出一个对话框以便输入该 PIN。 PIN 必须是一个 4 到
8 位的数字。 由于 PIN 是一种类型的密码,用户在这些输入字段中输入的任何内容都显示为星号。
8 位的数字。 由于 PIN 是一种类型的密码,用户在这些输入字段中输入的任何内容都显示为星号。
使用 RADIUS 代理时,PIN 确认是继原始对话框之后的一个单独质询。 客户端将新 PIN 发送到安全
网关,安全网关继续“下一个验证码”质询。
网关,安全网关继续“下一个验证码”质询。
“下一个验证码”和“下一个令牌代码”质询
对于“下一个验证码”质询,客户端使用在创建或分配新 PIN 过程中缓存的 PIN 值从 RSA SecurID
Software Token DLL 获得下一个验证码并将其返回给安全网关,而不会提示用户。 同样,对于软件
令牌的“下一个令牌代码”质询,客户端从 RSA SecurID Software Token DLL 获得下一令牌代码。
Software Token DLL 获得下一个验证码并将其返回给安全网关,而不会提示用户。 同样,对于软件
令牌的“下一个令牌代码”质询,客户端从 RSA SecurID Software Token DLL 获得下一令牌代码。
比较本地 SDI 与 RADIUS SDI
网络管理员可以配置安全网关,以允许通过以下模式之一进行 SDI 身份验证:
• 本地 SDI 指安全网关中与 SDI 服务器直接通信以处理 SDI 身份验证的本地能力。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
134
配置 VPN 接入
使用 SDI 令牌 (SoftID) 集成进行 VPN 身份验证