Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
配置 EAP-TTLS
• EAP - 允许使用以下 EAP 方法之一:
EAP-MD5 (EAP Message Digest 5) - 使用三向握手来验证对等方身份(类似于 CHAP)。
使用这种质询-响应方法,需要在验证方的数据库中存储明文密码。
使用这种质询-响应方法,需要在验证方的数据库中存储明文密码。
EAP-MSCHAPv2 - 使用三向握手来验证对等方的身份。 先对客户端、再对服务器进行身
份验证。 如果对服务器的身份验证需要先于客户端(例如为防止字典攻击),则应配置
份验证。 如果对服务器的身份验证需要先于客户端(例如为防止字典攻击),则应配置
EAP-TTLS 以在第 1 阶段验证服务器的证书。 对 NT 哈希值形式的密码使用这种质询-响
应方法时,需要在验证方的数据库中存储明文密码或至少 NT 哈希值形式的密码。
应方法时,需要在验证方的数据库中存储明文密码或至少 NT 哈希值形式的密码。
• EAP-TTLS 设置
Validate Server Identity(验证服务器身份)- 启用服务器证书验证。
如果启用此选项,请确保 RADIUS 服务器上安装的服务器证书包含 Server
Authentication(服务器身份验证)的扩展密钥使用 (EKU)。 当 RADIUS 服务器
在身份验证期间将其配置的证书发送到客户端时,必须对网络访问和身份验证
使用此 Server Authentication(服务器身份验证)设置。
Authentication(服务器身份验证)的扩展密钥使用 (EKU)。 当 RADIUS 服务器
在身份验证期间将其配置的证书发送到客户端时,必须对网络访问和身份验证
使用此 Server Authentication(服务器身份验证)设置。
注释
Enable Fast Reconnect(启用快速重新连接)- 只启用外部 TLS 会话恢复,而不管内部身份
验证是跳过还是由验证方控制。
验证是跳过还是由验证方控制。
Disable When Using a Smart Card(使用智能卡时禁用)不适用于机器连接身份验
证。
证。
注释
• Inner Methods(内部方法)- 指定在 TLS 隧道创建后使用的内部方法。 仅适用于 Wi-Fi 媒体类
型。
PEAP 选项
受保护的 EAP (PEAP) 是基于隧道 TLS 的 EAP 方法。 它在客户端身份验证之前使用 TLS 进行服务
器身份验证,以加密内部身份验证方法。 内部身份验证在受信任加密保护的隧道内进行,支持多种
不同的内部身份验证方法,包括证书、令牌和密码。 网络访问管理器不支持在 PEAP 身份验证期间
使用的内部和外部方法加密绑定。 如果需要加密绑定,则必须使用 EAP-FAST。 加密绑定可防御特
殊类别的中间人攻击,在这类攻击中,攻击者无需知道凭证就可以劫持用户的连接。
器身份验证,以加密内部身份验证方法。 内部身份验证在受信任加密保护的隧道内进行,支持多种
不同的内部身份验证方法,包括证书、令牌和密码。 网络访问管理器不支持在 PEAP 身份验证期间
使用的内部和外部方法加密绑定。 如果需要加密绑定,则必须使用 EAP-FAST。 加密绑定可防御特
殊类别的中间人攻击,在这类攻击中,攻击者无需知道凭证就可以劫持用户的连接。
PEAP 通过提供以下服务保护 EAP 方法:
• 为 EAP 数据包创建 TLS 隧道
• 消息身份验证
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
153
配置网络访问管理器
Networks(网络)窗口的 User or Machine Authentication(用户或机器身份验证)页面