关于网络访问管理器
网络访问管理器是依据其策略提供安全第 2 层网络的客户端软件。可检测并选择最佳第 2 层接入网络并对有线和无线网络的访问执行设备身份验证。网络访问管理器对安全访问所需的用户及设备身份和网络访问协议进行管理。智能化地工作可防止最终用户进行违反管理员定义的策略的连接。
网络访问管理器采用单宿主设计,一次只允许一个网络连接。此外,有线连接具有高于无线连接的优先级,因此,如果将您插入包含有线连接的网络,则无线适配器将变为禁用状态,并且没有 IP 地址。
如果您的有线或无线网络设置或特定 SSID 从组策略推送,它们可能会与网络访问管理器的正常运行冲突。在安装了网络访问管理器的情况下,不支持无线设置的组策略。
注 |
网络访问管理器在 Mac OS X 或 Linux 上不支持。 |
注 |
如果在 Windows OS 上使用 ISE 终端安全评估,则必须在启动 AnyConnect ISE 终端安全评估之前安装网络访问管理器。 |
Cisco AnyConnect Secure Mobility Client 的网络访问管理器组件支持以下主要功能:
-
传输层安全 (TLS) 协议版本 1.2
-
有线 (IEEE 802.3) 和无线 (IEEE 802.11) 网络适配器。
-
一些搭配 Windows 7 或更高版本的移动宽带 (3G) 网络适配器。(需要支持 Microsoft 移动宽带 API 的 WAN 适配器。)
-
使用 Windows 机器凭证的登录前身份验证。
-
使用 Windows 登录凭证的单点登录用户身份验证。
-
简化的 IEEE 802.1X 配置。
-
IEEE MACsec 有线加密和企业策略控制。
-
EAP 方法:
-
EAP-FAST、PEAP、EAP-TTLS、EAP-TLS 和 LEAP(EAP-MD5、EAP-GTC 和仅用于 IEEE 802.3 有线的 EAP-MSCHAPv2)。
-
-
内部 EAP 方法:
-
PEAP - EAP-GTC、EAP-MSCHAPv2 和 EAP-TLS。
-
EAP-TTLS - EAP-MD5 和 EAP-MSCHAPv2 和传统方法(PAP、CHAP、MSCHAP 和 MSCHAPv2)。
-
EAP-FAST - GTC、EAP-MSCHAPv2 和 EAP-TLS。
-
-
加密模式 - 静态 WEP(打开或共享)、动态 WEP、TKIP 和 AES。
-
密钥建立协议 - WPA、WPA2/802.11i。
-
AnyConnect 在以下环境中支持提供智能卡的凭证: -
Windows 中的 Microsoft CAPI 1.0 和 CAPI 2.0 (CNG)。
-
Windows 登录不支持 ECDSA 证书。因此,网络访问管理器单点登录 (SSO) 不支持 ECDSA 客户端证书。
-
套件 B 和 FIPS
以下功能已在 Windows 7 或更高版本上经过 FIPS 认证,并且列出了所有例外情况:
-
ACS 和 ISE 不支持 Suite B,但具有 OpenSSL 1.x 的 FreeRADIUS 2.x 支持 Suite B。Microsoft NPS 2008 部分支持 Suite B(NPS 证书仍必须是 RSA)。
-
802.1X/EAP 只支持过渡性 Suite B 配置文件(如 RFC 5430 中定义)。
-
MACsec 符合 FIPS 规范。
-
支持 Elliptic Curve Diffie-Hellman (ECDH) 密钥交换。
-
支持 ECDSA 客户端证书。
-
支持操作系统存储区中的 ECDSA CA 证书。
-
支持网络配置文件中的 ECDSA CA 证书(PEM 编码)。
-
支持服务器的 ECDSA 证书链验证。
单点登录“单一用户”实施
Microsoft Windows 允许多名用户同时登录,但思科 AnyConnect 网络访问管理器将网络身份验证仅限于对单一用户执行。无论有多少用户登录,AnyConnect 网络访问管理器都在每个桌面或每台服务器上为一位用户保持活动状态。单用户登录实施意味着只有一位用户可以随时登录到系统,并且管理员无法强制当前登录的用户注销。
如果网络访问管理器客户端模块安装在 Windows 桌面上,系统的默认行为是实施单一用户登录。如果该模块安装在服务器上,默认行为是解除单一用户登录实施。但无论是哪种情况,您都可修改或添加注册表来更改默认行为。
限制
-
Windows 管理员无法强制注销当前登录的用户。
-
对于同一用户,支持与所连接工作站的 RDP 会话。
-
凭证格式相同才会被视为同一用户。例如,user/example 与 user@example.com 就不相同。
-
智能卡用户也必须确保 PIN 相同才会被视为同一用户。
配置单点登录单一用户实施
要更改 Windows 工作站或服务器处理多位用户的方式,请更改注册表中 EnforceSingleLogon 的值。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{B12744B8-5BB7-463a-B85E-BB7627E73002}
要配置一位或多位用户登录,请添加名为 EnforceSingleLogon 的 DWORD,并为其赋值 1 或 0。
对于 Windows:
-
1 表示仅限一个用户登录。
-
0 允许多位用户进行登录。