Operation Manual
Hoofdstuk 4 Infrastructuur en integratie 42
•
Gebruik de instelling 'Automatisch' om het apparaat via PAC of WPAD te voorzien van een
conguratiebestand voor een automatische proxy. Voor PAC geeft u de URL van het PAC- of
JavaScript-bestand op. In het geval van WPAD worden de juiste instellingen opgevraagd bij
DHCP en DNS.
De VPN-proxyconguratie wordt gebruikt wanneer het VPN het volgende aanbiedt:
•
De standaard-resolver en de standaardroute: De VPN-proxy wordt gebruikt voor alle
webverzoeken in het systeem.
•
Een 'split tunnel': De VPN-proxy wordt alleen gebruikt door verbindingen naar hosts die
overeenkomen met de DNS-zoekdomeinen van het VPN.
Methoden voor identiteitscontrole
Voor iOS kunnen de volgende methoden voor identiteitscontrole worden gebruikt:
•
IPsec-identiteitscontrole op basis van een vooraf gedeelde sleutel met gebruikerscontrole
via xauth.
•
Client- en servercerticaten voor IPsec-identiteitscontrole met optionele gebruikerscontrole
via xauth.
•
Hybride identiteitscontrole waarbij de server een certicaat verstrekt en de client een vooraf
gedeelde sleutel verstrekt voor IPsec-identiteitscontrole. Gebruikerscontrole via xauth
is vereist.
•
Voor gebruikerscontrole wordt xauth gebruikt op basis van een van de volgende methoden:
•
Gebruikersnaam met wachtwoord
•
RSA SecurID
•
CRYPTOCard
Identiteitscontrolegroepen
Het Cisco Unity-protocol gebruikt identiteitscontrolegroepen om gebruikers te groeperen op basis
van een gemeenschappelijke set parameters. U moet een identiteitscontrolegroep aanmaken
voor gebruikers van iOS-apparaten. Voor hybride identiteitscontrole en controle op basis van
een vooraf gedeelde sleutel moet bij het congureren van de groepsnaam op het apparaat
het gedeelde geheim van de groep (de vooraf gedeelde sleutel) als groepswachtwoord
worden ingesteld.
Er is geen gedeeld geheim voor identiteitscontrole op basis van certicaten. De groep van een
gebruiker wordt vastgesteld op basis van velden in het certicaat. U kunt de Cisco-serverinstellingen
gebruiken om velden in een certicaat aan gebruikersgroepen te koppelen.
RSA-Sig moet de hoogste prioriteit hebben in de ISAKMP-prioriteitenlijst.
Certicaten
Aandachtspunten bij het congureren en installeren van certicaten:
•
In het identiteitscerticaat van de server moet in het SubjectAltName-veld de DNS-naam of
het IP-adres van de server zijn ingevuld. Op basis van deze informatie controleert het apparaat
of het certicaat bij de server hoort. Voor meer exibiliteit kunt u de SubjectAltName opgeven
met behulp van jokertekens, zoals 'vpn.*.mijnbedrijf.com', zodat de naam op meerdere servers
van toepassing is. Als er geen SubjectAltName is opgegeven, kunt u het algemene naamveld
gebruiken voor de DNS-naam.