Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
LEAP 设置
LEAP(轻型 EAP)支持无线网络。 它基于可扩展身份验证协议 (EAP) 框架,由思科开发,旨在创
建比 WEP 更安全的协议。
建比 WEP 更安全的协议。
LEAP 容易受到字典攻击,除非实施强密码并定期使密码过期。 思科建议使用 EAP-FAST、PEAP
或 EAP-TLS,它们的身份验证方法不易受字典攻击。
或 EAP-TLS,它们的身份验证方法不易受字典攻击。
注释
只能用于用户身份验证的 LEAP 设置:
• 注销后延长用户连接 - 用户注销后保持连接打开状态。 如果同一用户再次登录,网络连接仍处
于活动状态。
以了解详细信息。
定义网络凭证
在 Networks(网络)> Credentials(凭证)窗格中,指定是否使用用户和/或机器凭证,并且配置受
信任服务器验证规则。
信任服务器验证规则。
配置用户凭证
EAP 对话可能涉及多种 EAP 身份验证方法,其中每种身份验证要求的身份可能不同(例如先是机器
身份验证,然后是用户身份验证)。 例如,对等项最初可能声称身份为 nouser@cisco.com 以将身份
验证请求发送到 cisco.com EAP 服务器。 但是,一旦已协商 TLS 会话,对等项可能声称身份为
johndoe@cisco.com。 因此,即使通过用户的身份提供保护,目标领域也不一定匹配,除非对话在本
地身份验证服务器上终止。
身份验证,然后是用户身份验证)。 例如,对等项最初可能声称身份为 nouser@cisco.com 以将身份
验证请求发送到 cisco.com EAP 服务器。 但是,一旦已协商 TLS 会话,对等项可能声称身份为
johndoe@cisco.com。 因此,即使通过用户的身份提供保护,目标领域也不一定匹配,除非对话在本
地身份验证服务器上终止。
对于用户连接,使用了 [username] 和 [domain] 占位符模式时,适用以下条件:
• 如果客户端证书用于身份验证 - 从各 X509 证书属性获取 [username] 和 [password] 的占位符值。
根据首次匹配以下述顺序分析属性。 例如,如果对于用户身份验证,身份是 userA@example.com
(其中 username=userA 且 domain=example.com),对于机器身份验证,身份是 hostA.example.com
(其中 username=hostA 且 domain=example.com),将分析以下属性:
(其中 username=userA 且 domain=example.com),对于机器身份验证,身份是 hostA.example.com
(其中 username=hostA 且 domain=example.com),将分析以下属性:
• 如果是基于用户证书的身份验证:
SubjectAlternativeName: UPN = userA@example.com
Subject = .../CN=userA@example.com/...
Subject = userA@eample.com
Subject = .../CN=userA/DC=example/DC=com/...
Subject = userA (no domain)
• 如果是基于机器证书的身份验证:
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
157
配置网络访问管理器
Networks(网络)窗口的 User or Machine Authentication(用户或机器身份验证)页面