De nombreuses personnes ont discuté de la configuration du client VPN intégré à OS X pour se connecter aux VPN Cisco à la place du client AnyConnect. Cependant, toutes les discussions se concentrent sur la copie des informations de configuration critiques (secret partagé ou certificat, en particulier) à partir d'un fichier PCF ou Profile.xml inclus dans un programme d'installation AnyConnect spécifique au site.
Le programme d'installation d'AnyConnect où je suis maintenant (version 4.2.01035) ne semble déployer aucune information de profil. /opt/cisco/anyconnect/profile
contient uniquement AnyConnectProfile.xsd
(une définition de schéma standard, rien de spécifique à cette configuration). Il n'y a aucun signe de XML de profil ou des fichiers PCF que je peux trouver dans /opt/cisco
, /Library
ou $HOME/Library
.
Cela correspond à l'expérience de l'interface utilisateur: il ne semble pas y avoir de profils préconfigurés. Au lieu de cela, au premier lancement, j'obtiens simplement un champ VPN vide dans lequel j'entre simplement un nom d'hôte à la main (dans ce cas, ucbvpn.berkeley.edu
) et je me connecte. Cela donne une invite de connexion comprenant une liste déroulante de sélection de groupe et des champs de nom d'utilisateur et de mot de passe. La simple saisie d'un nom d'utilisateur et d'un mot de passe lance la connexion dans le mode spécifié par le «groupe» donné, et tout fonctionne correctement.
Cependant, je ne peux pas comprendre comment cette configuration peut être entièrement transférée vers le client VPN natif OS X. Le transfert d'un nom de groupe choisi à partir de la liste semble être découvert automatiquement par le client AnyConnect, mais la configuration VPN OS X semble également nécessiter la saisie explicite d'un secret partagé ou d'un certificat.
Ma meilleure supposition est que le client Cisco fonctionne dans un mode peut-être nouveau où il peut négocier directement avec le serveur pour découvrir automatiquement toutes les informations de configuration nécessaires et qu'il n'est stocké sur disque nulle part. Quelqu'un a-t-il une expérience avec une configuration comme celle-ci ou a-t-il des suggestions sur quoi d'autre essayer?
Réponses:
Je crois que le client AnyConnect peut être utilisé pour se connecter à un certain nombre de types de VPN différents offerts par Cisco. Le processus que vous décrivez ci-dessus me porte à croire que vous vous connectez à un SSL-VPN. SSL-VPN ne nécessite pas l'utilisation d'un secret partagé pour la première couche de cryptage. Au lieu de cela, le client et le serveur négocient automatiquement ce cryptage de première couche à l'aide de SSL. On vous demande ensuite des informations d'identification et une appartenance à un groupe. Le reste de votre session VPN est crypté de manière unique après l'authentification.
Vous pouvez créer un script pour la connexion afin qu'au lieu d'avoir à saisir vos informations d'identification à chaque fois, vous pouvez les stocker dans votre trousseau de clés et simplement lancer la connexion à partir du shell ou d'un autre script. Je l'ai fait il y a quelques années ici: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html
J'ai remarqué qu'à chaque mise à jour d'AnyConnect, je devais modifier ce script, alors utilisez-le comme exemple et continuez à partir de là. Cela fait environ un an que j'ai eu besoin de me connecter via AnyConnect pour la dernière fois.
la source