Depolanmış sertifika veya paylaşılan sır olmadan Cisco AnyConnect VPN'ye bağlanma

Birçok kişi, AnyConnect istemcisi yerine Cisco VPN'lere bağlanmak için OS X yerleşik VPN istemcisini yapılandırmayı tartıştı. Ancak, tüm tartışmalar, siteye özgü AnyConnect yükleyicisindeki PCF veya Profile.xml dosyalarından kritik yapılandırma bilgilerini (özellikle paylaşılan sır veya sertifika) kopyalamaya odaklanır.

Şu anda bulunduğum AnyConnect yükleyicisi (sürüm 4.2.01035) herhangi bir profil bilgisi dağıtmıyor gibi görünüyor. /opt/cisco/anyconnect/profileyalnızca içerir AnyConnectProfile.xsd(standart bir şema tanımı, bu yapılandırmaya özgü bir şey değil). Orada herhangi bir profil XML belirtisi yok ya PCF ı bulabileceğini dosyaları /opt/cisco, /Libraryveya $HOME/Library.

Bu, kullanıcı arayüzü deneyimiyle eşleşir: önceden yapılandırılmış profil yok gibi görünüyor. Bunun yerine, ilk açılışta boş bir VPN alanı alıyorum, burada sadece bir ana bilgisayar adı giriyorum (bu durumda ucbvpn.berkeley.edu) ve connect'e basın. Bu, bir grup seçimi açılır listesi ile kullanıcı adı ve şifre alanlarını içeren bir oturum açma istemi verir. Bir kullanıcı adı ve parola girilmesi, bağlantıyı verilen “grup” tarafından belirtilen modda başlatır ve her şey yolunda gider.

Ancak, bu yapılandırmanın OS X yerel VPN istemcisine nasıl tamamen aktarılabileceğini anlayamıyorum. Listeden seçilen bir grup adının AnyConnect istemcisi tarafından otomatik olarak keşfedildiği anlaşılıyor, ancak OS X VPN yapılandırması da açıkça bir paylaşılan sır veya sertifika girilmesini gerektiriyor gibi görünüyor.

En iyi tahminim, Cisco istemcisinin, gerekli yapılandırma bilgilerini otomatik olarak keşfetmek için doğrudan sunucu ile pazarlık yapabileceği belki de yeni bir modda çalıştığı ve hiçbir yerde diskte saklanmadığıdır. Herkes böyle bir kurulum ile herhangi bir deneyimi var mı, ya da başka ne denemek için herhangi bir öneriniz var mı?

AnyConnect istemcisinin Cisco tarafından sunulan bir dizi farklı VPN türüne bağlanmak için kullanılabileceğine inanıyorum. Yukarıda açıkladığınız işlem, bir SSL-VPN'ye bağlandığınıza inanmamı sağlıyor. SSL-VPN, ilk şifreleme katmanı için paylaşılan bir sır kullanılmasını gerektirmez. Bunun yerine istemci ve sunucu SSL kullanarak bu ilk katman şifrelemesini otomatik olarak görüşür. Daha sonra sizden kimlik bilgileri ve grup üyeliği istenir. VPN oturumunuzun geri kalanı Kimlik Doğrulama'nın ardından benzersiz şekilde şifrelenir.

Bağlantıyı, her seferinde kimlik bilgilerinizi girmek yerine, anahtar zincirinizde saklamak ve sadece kabuktan veya başka bir komut dosyasından başlatmak için komut dosyası oluşturabilirsiniz. Birkaç yıl önce burada yaptım: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

AnyConnect'in her güncellemesiyle, bu betiği değiştirmek zorunda kaldım, bu yüzden örnek olarak kullanın ve oradan gidin. AnyConnect ile bağlanmak istediğimden bu yana yaklaşık bir yıl geçti.