我的适用于 Windows 的 Cisco AnyConnect 客户端 4.6 成功连接到服务器:提示主机名,然后是组、用户名、密码。
没有配置配置文件C:\ProgramData\Cisco\Cisco AnyConnect 安全移动客户端\配置文件。
我想更改一些通常存储在配置文件中的连接设置:
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<AutoConnectOnStart>true</AutoConnectOnStart>
<MinimizeOnConnect>true</MinimizeOnConnect>
<LocalLanAccess>true</LocalLanAccess>
<AutoUpdate>true</AutoUpdate>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>
<AllowManualHostInput>false</AllowManualHostInput>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>vpn.example.com</HostName>
<HostAddress>vpn.example.com</HostAddress>
<UserGroup>Example</UserGroup>
</HostEntry>
</ServerList>
不幸的是,上面的profile.xml无法与以下日志连接:
12:09:39 AM Connection attempt has failed.
12:09:40 AM No valid certificates available for authentication.
我猜服务器在每次连接时都会提供一些默认配置文件设置。是否可以像基于文件的配置文件配置一样复制它,其工作方式与从服务器收到的配置文件完全相同?
答案1
如果个人资料有用户组(即隧道组)条目与主机条目不同,AnyConnect 客户端的行为有所不同。这意味着,配置文件要求用户明确连接到用户组针对该主机条目。在这种情况下,VPN 服务器(即 ASA)不会显示 ASA 上可用的其他隧道组。用户必须严格通过 ASA 上为该隧道组配置的身份验证(用户名/密码或证书)。
为了直接连接到特定用户组,管理员必须在 ASA 上为该用户组配置 group-url。 在您的例子中,需要配置的 group-url 是https://vpn.example.com/示例对于用户组例子。您可以通过以下方式进行操作 -
有关配置 group-url 的 ASA CLI 帮助:Web VPN 属性或者
通过 AnyConnect 连接配置文件 -> ASDM 上的高级部分
如果未配置 group-url,AnyConnect 会因直接连接到特定用户组而失败,我怀疑您的情况就是这样。希望这对您有所帮助。