Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
EAP-GTC
EAP-GTC 是基于简单用户名和密码身份验证的 EAP 身份验证方法。 不使用质询响应方法,用户名
和密码均以明文传递。 建议在隧道 EAP 方法内部(请参阅面的隧道 EAP 方法)或针对一次性密码
(OTP) 使用此方法。
和密码均以明文传递。 建议在隧道 EAP 方法内部(请参阅面的隧道 EAP 方法)或针对一次性密码
(OTP) 使用此方法。
EAP-GTC 不提供相互身份验证。 它只对客户端进行身份验证,因此非法服务器可能会获取用户的
凭证。 如果需要相互身份验证,则在隧道 EAP 方法内部使用 EAP-GTC,这样可提供服务器身份验
证。
凭证。 如果需要相互身份验证,则在隧道 EAP 方法内部使用 EAP-GTC,这样可提供服务器身份验
证。
EAP-GTC 未提供密钥材料;因此,不能对 MACsec 使用此方法。 如果进一步的流量加密需要密钥
材料,则在隧道 EAP 方法内使用 EAP-GTC,这样可提供密钥材料(如有必要,还提供内部和外部
EAP 方法加密绑定)。
材料,则在隧道 EAP 方法内使用 EAP-GTC,这样可提供密钥材料(如有必要,还提供内部和外部
EAP 方法加密绑定)。
有两个密码源选项:
• 使用密码进行身份验证 - 只适用于有良好保护的有线环境
• 使用令牌进行身份验证 - 更安全,因为令牌代码或 OTP 的生命期较短(通常约为 10 秒)
网络访问管理器、身份验证器和 EAP-GTC 协议均无法区分密码和令牌代码。 这
些选项只影响网络访问管理器中凭证的生命期。 虽然可在注销前或更长时间内
记住密码,但不能记住令牌代码(因为每次身份验证时都提示用户输入令牌代
码)。
些选项只影响网络访问管理器中凭证的生命期。 虽然可在注销前或更长时间内
记住密码,但不能记住令牌代码(因为每次身份验证时都提示用户输入令牌代
码)。
如果使用密码进行身份验证,可以使用此协议对照包含哈希值密码的数据库进
行身份验证,因为密码以明文传递到身份验证器。如果存在数据库泄露的可能,
建议使用此方法。
行身份验证,因为密码以明文传递到身份验证器。如果存在数据库泄露的可能,
建议使用此方法。
注释
EAP-TLS
EAP 传输层安全 (EAP-TLS) 是基于 TLS 协议 (RFC 2246) 的 IEEE 802.1X EAP 身份验证算法。 TLS
使用基于 X.509 数字证书的相互身份验证。 EAP-TLS 消息交换提供相互身份验证、加密套件协商、
密钥交换、客户端与身份验证服务器之间的身份验证以及可用于流量加密的密钥材料。
使用基于 X.509 数字证书的相互身份验证。 EAP-TLS 消息交换提供相互身份验证、加密套件协商、
密钥交换、客户端与身份验证服务器之间的身份验证以及可用于流量加密的密钥材料。
下面的列表提供了 EAP-TLS 客户端证书可为有线和无线连接提供强身份验证的主要原因:
• 身份验证自动进行,通常无需用户干预。
• 不存在对用户密码的依赖性。
• 数字证书提供强身份验证保护。
• 使用公共密钥加密保护消息交换。
• 证书不易受字典攻击。
• 身份验证过程会为数据加密和签名生成相互确定的密钥。
EAP-TLS 包含两个选项:
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
151
配置网络访问管理器
Networks(网络)窗口的 User or Machine Authentication(用户或机器身份验证)页面