如何从纯主机和凭证 Cisco AnyConnect VPN 客户端连接中提取配置文件?

如何从纯主机和凭证 Cisco AnyConnect VPN 客户端连接中提取配置文件?

我的适用于 Windows 的 Cisco AnyConnect 客户端 4.6 成功连接到服务器:提示主机名,然后是组、用户名、密码。

没有配置配置文件C:\ProgramData\Cisco\Cisco AnyConnect 安全移动客户端\配置文件

我想更改一些通常存储在配置文件中的连接设置:

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
    <ShowPreConnectMessage>false</ShowPreConnectMessage>
    <AutoConnectOnStart>true</AutoConnectOnStart>
    <MinimizeOnConnect>true</MinimizeOnConnect>
    <LocalLanAccess>true</LocalLanAccess>
    <AutoUpdate>true</AutoUpdate>
    <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
    <WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>
    <AllowManualHostInput>false</AllowManualHostInput>
</ClientInitialization>
<ServerList>
    <HostEntry>
        <HostName>vpn.example.com</HostName>
        <HostAddress>vpn.example.com</HostAddress>
        <UserGroup>Example</UserGroup>
    </HostEntry>
</ServerList>

不幸的是,上面的profile.xml无法与以下日志连接:

  12:09:39 AM    Connection attempt has failed.
  12:09:40 AM    No valid certificates available for authentication.

我猜服务器在每次连接时都会提供一些默认配置文件设置。是否可以像基于文件的配置文件配置一样复制它,其工作方式与从服务器收到的配置文件完全相同?

答案1

如果个人资料有用户组(即隧道组)条目与主机条目不同,AnyConnect 客户端的行为有所不同。这意味着,配置文件要求用户明确连接到用户组针对该主机条目。在这种情况下,VPN 服务器(即 ASA)不会显示 ASA 上可用的其他隧道组。用户必须严格通过 ASA 上为该隧道组配置的身份验证(用户名/密码或证书)。

为了直接连接到特定用户组,管理员必须在 ASA 上为该用户组配置 group-url。 在您的例子中,需要配置的 group-url 是https://vpn.example.com/示例对于用户组例子。您可以通过以下方式进行操作 -

  • 有关配置 group-url 的 ASA CLI 帮助:Web VPN 属性或者

  • 通过 AnyConnect 连接配置文件 -> ASDM 上的高级部分

如果未配置 group-url,AnyConnect 会因直接连接到特定用户组而失败,我怀疑您的情况就是这样。希望这对您有所帮助。

相关内容