Operation Manual
Kapitel 4 Infrastruktur und Integration 42
•
Verwenden Sie die Einstellung „Auto“, um das Gerät mit einer Datei zur automatischen
Proxykonguration mittels PAC oder WPAD zu versehen. Geben Sie für PACS die URL der
PACS- oder JavaScript-Datei an. Für WPAD ruft iOS über DHCP und DNS die entsprechenden
Einstellungen ab.
Die VPN-Proxykonguration wird verwendet, wenn das VPN Folgendes bereitstellt:
•
Den Standardauöser und die Standardroute: Der VPN-Proxy wird für alle Webanforderungen
auf dem System verwendet.
•
Einen Split Tunnel: Nur Verbindungen zu Hosts, die der DNS-Suchdomain des VPNs entspre-
chen, verwenden den VPN-Proxy.
Authentizierungsmethoden
iOS unterstützt die folgenden Authentizierungsmethoden:
•
IPsec-Authentizierung mit Pre-Shared-Schlüssel und einer Benutzerauthentizierung
via xauth.
•
Client- und Serverzertikate für die IPsec-Authentizierung mit optionaler
Benutzerauthentizierung via xauth.
•
Hybrid-Authentizierung, bei der vom Server ein Zertikat und vom Client ein Pre-Shared-
Schlüssel für die IPsec-Authentizierung bereitgestellt wird. Die Benutzerauthentizierung
erfolgt via xauth.
•
Benutzerauthentizierung erfolgt via xauth und umfasst die folgenden
Authentizierungsmethoden:
•
Benutzername mit Passwort
•
RSA-SecurID
•
CRYPTOCard
Authentizierungsgruppen
Das Cisco Unity-Protokoll verwendet Authentizierungsgruppen, um Benutzer basierend auf
einer Reihe gemeinsamer Parameter zu gruppieren. Sie sollten eine Authentizierungsgruppe
für die Benutzer der iOS-Benutzer erstellen. Bei einer Authentizierung mit Pre-Shared-Schlüssel
und einer Hybrid-Authentizierung muss der Gruppenname auf dem Gerät so konguriert
werden, dass der Pre-Shared-Schlüssel („Shared Secret“) der Gruppe als Passwort für die Gruppe
verwendet wird.
Bei der Verwendung der Zertikatauthentizierung wird kein Schlüssel („Shared Secret“)
verwendet. Die Gruppe eines Benutzers ergibt sich aus Feldern des Zertikats. Mithilfe der
Cisco-Servereinstellungen lassen sich Felder eines Zertikats Benutzergruppen zuweisen.
RSA-Sig muss in der ISAKMP-Prioritätenliste die höchste Priorität haben.
Zertikate
Wenn Sie Zertikate einrichten und installieren:
•
Das Identitätszertikat des Servers muss den DNS-Namen oder die IP-Adresse des Servers im
Feld für den alternativen Benutzernamen (SubjectAltName) enthalten. Das Gerät überprüft
anhand dieser Informationen, ob das Zertikat zum Server gehört. Sie können den alternativen
Benutzernamen mit Platzhalterzeichen angeben (z. B. „vpn.*.mycompany.com“), die ein
segmentweises Abgleichen und damit mehr Flexibilität ermöglichen. Wenn der
SubjectAltName nicht angegeben wird, können Sie den DNS-Namen im Feld für den
allgemeinen Namen angeben.