Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide

• Use Static Credentials（使用静态凭证）- 从该配置文件编辑器提供的网络配置文件获取用户凭

证。 如果静态凭证失败，网络访问管理器在加载新配置之后才会再次使用凭证。

• Prompt for Credentials（提示输入凭证）- 通过 AnyConnect GUI 获取来自最终用户的凭证，正如

下文所指定：

• Remember Forever（一直记住）- 永久记住凭证。 如果记住的凭证失败，则再次提示用户

输入凭证。 凭证保留在文件中并使用本地机器密码进行加密。

• Remember While User Is Logged On（在用户登录期间记住）- 记住凭证，直到用户注销为

止。 如果记住的凭证失败，则再次提示用户输入凭证。

• Never Remember（从不记住）- 从不记住凭证。 网络访问管理器每次需要凭证信息以进行

身份验证时都会提示用户。

步骤 5 在需要证书时确定哪个证书源用于进行身份验证：

• 智能卡或操作系统证书 - 网络访问管理器使用在操作系统证书存储区或智能卡中找到的证书。

• 仅限智能卡证书 - 网络访问管理器仅使用智能卡中找到的证书。

步骤 6 在“Remember Smart Card Pin（记住智能卡 PIN）”参数中，确定网络访问管理器记住用于从智能卡

检索证书的 PIN 的时间长度。 请参阅步骤 2 以了解可用的选项。

PIN 保留时间绝不能超过证书本身的保留时间。

某些智能卡连接所需时间可能比其他智能卡更长，这取决于智能卡芯片和驱动程序（也称为
加密服务提供程序 (CSP) 和密钥存储提供程序 (KSP)）。 增加连接超时可能给网络足够时间
来执行基于智能卡的身份验证。

注释

配置机器凭证

EAP 对话可能涉及多种 EAP 身份验证方法，其中每种身份验证要求的身份可能不同（例如先是机器
身份验证，然后是用户身份验证）。 例如，对等成员最初可能要求 nouser@example.com 的身份来将
身份验证请求路由到 cisco.com EAP 服务器。 但是，一旦 TLS 会话经过协商，对等成员可能要求
johndoe@example.com 的身份。 因此，即使通过用户的身份提供保护，目标领域也不一定匹配，除
非对话在本地身份验证服务器上终止。

对于机器连接，只要使用 [username] 和 [domain] 占位符，以下条件即适用：

• 如果客户端证书用于身份验证 - 从各 X509 证书属性获取 [username] 和 [password] 的占位符值。

根据首次匹配以下述顺序分析属性。 例如，如果对于用户身份验证来说身份是 userA@cisco.com
（其中 username=userA，domain=cisco.com），对于机器身份验证来说是 hostA.cisco.com（其
中 username=hostA，domain=cisco.com），则分析以下属性：

• 如果是基于用户证书的身份验证：

SubjectAlternativeName: UPN = userA@example.com

Cisco AnyConnect 安全移动客户端管理员指南，4.0 版

配置网络访问管理器

Networks（网络）窗口的 User or Machine Authentication（用户或机器身份验证）页面