저장된 인증서 또는 공유 비밀없이 Cisco AnyConnect VPN에 연결

많은 사람들이 AnyConnect 클라이언트 대신 Cisco VPN에 연결하도록 OS X 내장 VPN 클라이언트 구성에 대해 논의했습니다. 그러나 모든 토론은 사이트 별 AnyConnect 설치 프로그램에 포함 된 PCF 또는 Profile.xml 파일에서 중요한 구성 정보 (특히 공유 비밀 또는 인증서)를 복사하는 데 중점을 둡니다.

현재 AnyConnect 설치 프로그램 (버전 4.2.01035)은 프로파일 정보를 배포하지 않는 것 같습니다. /opt/cisco/anyconnect/profile포함 AnyConnectProfile.xsd(이 구성에 특정한 것은 아닌 표준 스키마 정의) 이 모든 프로필 XML의 흔적은 없습니다 또는 PCF 내가 찾을 수있는 파일 /opt/cisco, /Library또는 $HOME/Library.

이것은 UI 경험과 일치합니다. 사전 구성된 프로파일이없는 것 같습니다. 대신, 처음 시작할 때 빈 VPN 필드를 가져 와서 직접 호스트 이름 (이 경우 ucbvpn.berkeley.edu)을 입력하고 connect를 누르십시오. 그룹 선택 드롭 다운, 사용자 이름 및 비밀번호 필드를 포함한 로그인 프롬프트가 표시됩니다. 사용자 이름과 비밀번호를 입력하면 지정된 "그룹"에 지정된 모드로 연결이 시작되고 모든 것이 제대로 작동합니다.

그러나이 구성을 어떻게 OS X 기본 VPN 클라이언트로 완전히 전송할 수 있는지 알 수 없습니다. 목록에서 선택한 그룹 이름을 전송하면 AnyConnect 클라이언트가 자동으로 검색 한 것처럼 보이지만 OS X VPN 구성에는 공유 암호 또는 인증서를 명시 적으로 입력해야합니다.

가장 좋은 추측은 Cisco 클라이언트가 서버와 직접 협상하여 필요한 구성 정보를 자동 검색 할 수있는 새로운 모드로 작동하고 있으며 디스크에 저장되지 않는다는 것입니다. 누구든지 이와 같은 설정에 경험이 있습니까? 아니면 다른 시도가 있습니까?

AnyConnect 클라이언트를 사용하여 Cisco에서 제공하는 다양한 유형의 VPN에 연결할 수 있다고 생각합니다. 위에서 설명한 프로세스를 통해 SSL-VPN에 연결하고 있다고 믿게됩니다. SSL-VPN은 첫 번째 암호화 계층에 공유 비밀을 사용할 필요가 없습니다. 대신 클라이언트와 서버는 SSL을 사용하여 첫 번째 계층 암호화를 자동 협상합니다. 그런 다음 자격 증명 및 그룹 구성원 자격을 요구받습니다. 나머지 VPN 세션은 인증 후 고유하게 암호화됩니다.

매번 자격 증명을 입력 할 필요없이 연결을 스크립팅하여 키 체인에 저장하고 셸 또는 다른 스크립트에서 연결을 시작하면됩니다. 몇 년 전에 여기에서 이렇게했습니다 : http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

AnyConnect를 업데이트 할 때마다이 스크립트를 조정해야하므로 예제로 사용하고 거기서 시작했습니다. AnyConnect를 통해 마지막으로 연결 한 지 약 1 년이 지났습니다.