Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
EAP-TLS,使用证书进行身份验证。
使用令牌和 EAP-GTC 进行身份验证 - 对机器身份验证不可用。
在用户登录之前,智能卡支持在 Windows 上不可用。
注释
EAP-FAST 设置
EAP-FAST 是 IEEE 802.1X 身份验证类型,可提供简单灵活的部署和管理。 它支持多种用户和密码
数据库类型、服务器发起的密码过期和更改以及数字证书(可选)。
数据库类型、服务器发起的密码过期和更改以及数字证书(可选)。
EAP-FAST 针对想要部署 IEEE 802.1X EAP 类型的客户开发,该类型不使用证书但可防御字典攻击。
自 AnyConnect 3.1 起,配置机器和用户连接时均支持 EAP 链。 这意味着网络访问管理器将验证机器
和用户是否为已知实体且由公司管理,这对于控制用户拥有的连接到公司网络的资产来说非常有用。
有关 EAP 链的详细信息,请参阅 RFC 3748。
和用户是否为已知实体且由公司管理,这对于控制用户拥有的连接到公司网络的资产来说非常有用。
有关 EAP 链的详细信息,请参阅 RFC 3748。
EAP-FAST 将 TLS 消息封装在 EAP 内,包括三个协议阶段:
1
调配阶段 - 使用经过身份验证的 Diffie-Hellman 协议 (ADHP) 调配具有名为保护访问凭证 (PAC)
的共享加密凭证的客户端。
的共享加密凭证的客户端。
2
隧道建立阶段 - 使用 PAC 建立隧道。
3
身份验证阶段 - 身份验证服务器对用户凭证(令牌、用户名/密码或数字证书)进行身份验证。
与其他隧道 EAP 方法不同,EAP-FAST 提供内部和外部方法之间的加密绑定,可防御特殊类别的中
间人攻击,在这类攻击中,攻击者可劫持有效用户的连接。
间人攻击,在这类攻击中,攻击者可劫持有效用户的连接。
配置 EAP-FAST
• EAP-FAST 设置
Validate Server Identity(验证服务器身份)- 启用服务器证书验证。 启用此选项会在管理
实用程序中引入两个额外的对话框,并且在网络访问管理器配置文件编辑器任务列表中添
加额外的证书窗格。
实用程序中引入两个额外的对话框,并且在网络访问管理器配置文件编辑器任务列表中添
加额外的证书窗格。
如果启用此选项,请确保 RADIUS 服务器上安装的服务器证书包含 Server
Authentication(服务器身份验证)的扩展密钥使用 (EKU)。 当 RADIUS 服务器
在身份验证期间将其配置的证书发送到客户端时,必须对网络访问和身份验证
使用此 Server Authentication(服务器身份验证)设置。
Authentication(服务器身份验证)的扩展密钥使用 (EKU)。 当 RADIUS 服务器
在身份验证期间将其配置的证书发送到客户端时,必须对网络访问和身份验证
使用此 Server Authentication(服务器身份验证)设置。
注释
Enable Fast Reconnect(启用快速重新连接)- 启用会话恢复。 用来在 EAP-FAST 中恢复身
份验证会话的两种机制是用户授权 PAC(用于代替内部身份验证)和 TLS 会话恢复(用
份验证会话的两种机制是用户授权 PAC(用于代替内部身份验证)和 TLS 会话恢复(用
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
155
配置网络访问管理器
Networks(网络)窗口的 User or Machine Authentication(用户或机器身份验证)页面