生成 Cisco VPN .pcf 文件以分发给最终用户的最有效方法是什么?这适用于 ASA 5500 系列防火墙。
我从 Mac 工作站转而无法访问有效的 Cisco VPN 客户端。可以在客户端软件之外完成此操作吗?
答案1
.pcf 文件只是一个文本文档,其设计就像任何其他 INI 文件一样可编辑。很难找到有关该格式的文档,但这里有一个很好的起点:http://www.cisco.com/en/US/docs/security/vpn_client/cisco_vpn_client/vpn_client500_501/administration/5vcA.pdf#page119
具体来说第 5-1 章为远程用户预配置 VPN 客户端这是针对 vpn 客户端版本 5.0,但格式并没有发生很大变化。
好消息是,不需要设置所有的值,只需要设置那些对你来说很重要的值,或者你希望用户与之交互的值。
以下是 PDF 中的一个示例,以防思科移动它:
[main]
Description=connection to TechPubs server
Host=10.10.99.30
AuthType=1
GroupName=docusers
GroupPwd=
enc_GroupPwd=158E47893BDCD398BF863675204775622C49<SNIPPED>
EnableISPConnect=0
ISPConnectType=0
ISPConnect=
ISPCommand=
Username=alice
SaveUserPassword=0
UserPassword=
enc_UserPassword=
NTDomain=
EnableBackup=1
BackupServer=Engineering1, Engineering2, Engineering 3, Engineering4
EnableMSLogon=0
MSLogonType=0
EnableNat=1
EnableLocalLAN=0
TunnelingMode=0
TCPTunnelingPort=10000
CertStore=0
CertName=
CertPath=
CertSubjectName
SendCertChain=0
VerifyCertDN=CN=”ID Cert”,OU*”Cisco”,ISSUER-CN!=”Entrust”,ISSURE-OU!*”wonderland”
DHGroup=2
PeerTimeOut=90
ForceNetLogin=
正如你所看到的群组密码和enc_GroupPwd字段任一个都可以设置,正如Evan Anderson提到的,有很多工具可以破坏编码字段,所以如果你想对用户保密的话,它获得的安全性就很低。
将其保存在带有 .pcf 扩展名的记事本中,您的用户可以为您导入它。
虽然创建 pcf 文件的最快方法是与您的第一台移动用户计算机进行远程会话。在 vpn 客户端中输入信息,然后通过电子邮件将其创建的 pcf 文件发送给您自己。手动构建方法实际上旨在启用无法通过 gui 获得的功能。
祝你好运。
答案2
幸运的是,它们可以在客户端软件之外创建。它们只是文本文件。思科有一些关于格式的文档可用。请注意,任何预共享密钥的“加密”均未记录在案,因此将密码转换为该格式可能会很困难。