Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA 8.x: Permita que os usuários selecionem um grupo no início de uma sessão WebVPN através do Grupo-pseudônimo e do método Grupo-URL

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (8 Abril 2009) | Inglês (22 Agosto 2015) | Feedback


Índice

CLI
CLI

Introdução

Os usuários SSL VPN (AnyConnect/SVC e sem clientes) podem escolher que [Connection Profile in Adaptive Security Device Manager (ASDM) lingo] do grupo de túneis alcançar usando estes métodos diferentes:

  • grupo-URL

  • grupo-pseudônimo (lista de drop-down do grupo de túneis na página de login)

  • certificado-mapas, se usando Certificados

Este documento demonstra como configurar a ferramenta de segurança adaptável (ASA) para permitir que os usuários selecionem um grupo através de um menu suspenso quando entram ao serviço WebVPN. Os grupos que aparecem no menu são pseudônimos ou URL dos perfis da conexão real (grupos de túneis) configurados no ASA. Este documento ilustra como criar pseudônimos e URL para perfis de conexão (grupos de túneis) e configurar então a gota-para baixo para aparecer. Esta configuração é executada usando o ASDM 6.0(2) em uma versão de software ASA 8.0(2) em execução.

Nota: A versão ASA 7.2.x apoia dois métodos: grupo-URL e lista do grupo-pseudônimo.

Nota: A versão ASA 8.0.x apoia três métodos: grupo-URL, grupo-pseudônimo, e certificado-mapas.

Pré-requisitos

Configuração básica WebVPN

Configurar um pseudônimo e permita a gota-para baixo

Nesta seção, você é presentado com a informação para configurar um pseudônimo para um perfil de conexão (grupo de túneis) e para configurar então aqueles pseudônimos para aparecer no menu suspenso do grupo na página de login WebVPN.

ASDM

Termine estas etapas a fim configurar um pseudônimo para um perfil de conexão (grupo de túneis) no ASDM. Repita como necessário para cada grupo para que você quer configurar um pseudônimo.

  1. Escolha a configuração > o acesso > os perfis de conexão dos sem clientes SSL VPN.

  2. Selecione um perfil de conexão e o clique edita.

  3. Incorpore um pseudônimo ao campo dos pseudônimos.

    enable-group-dropdown-1.gif

  4. Clique a APROVAÇÃO e aplique a mudança.

  5. Nos perfis de conexão indicador, a verificação permite que o usuário selecione a conexão, identificada pelo pseudônimo na tabela acima, na página de login.

    /image/gif/paws/98580/enable-group-dropdown-2.gif

CLI

Use estes comandos na linha de comando configurar um pseudônimo para um perfil de conexão (grupo de túneis) e permitir a gota-para baixo do grupo de túneis. Repita como necessário para cada grupo para que você quer configurar um pseudônimo.

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Configurar uma URL e permita a gota-para baixo

Nesta seção, você é presentado com a informação para configurar uma URL para um perfil de conexão (grupo de túneis) e para configurar então aquelas URL para aparecer no menu suspenso do grupo na página de login WebVPN. Uma vantagem de usar a grupo-URL sobre o grupo-pseudônimo (gota-para baixo do grupo) é que você não expõe os nomes do grupo como o último método faz.

ASDM

Há dois métodos usados para especificar a Grupo-URL no ASDM:

  • Método do perfil - plenamente operacional

    Edite o perfil AC e altere o campo do <HostAddress>.

    Em Windows 2000/XP o arquivo de perfil padrão (por exemplo, CiscoAnyConnectProfile.xml) está no diretório: Usuários \ dados do aplicativo \ Cisco de C:\Documents and Settings\All \ Cisco AnyConnect VPN Client \ perfil.

    O lugar para a vista é levemente diferente: Cliente VPN \ perfil de C:\ProgramData\Cisco\Cisco AnyConnect.

  • Incorpore a série de URL do grupo à conexão para colocar.

    Três formatos de séries de URL do grupo são apoiados:

    • https://asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com (domínio-somente, nenhum trajeto)

Termine estas etapas a fim configurar uma URL para um perfil de conexão (grupo de túneis) no ASDM. Repita como necessário para cada grupo para que você quer configurar uma URL.

  1. Escolha o painel de Profiles>Advanced>Clientless SSL VPN da configuração > do acesso > da conexão dos sem clientes SSL VPN.

  2. Selecione um perfil de conexão e o clique edita.

  3. Incorpore uma URL ao campo URL do grupo.

    enable-group-dropdown-4.gif

  4. Clique a APROVAÇÃO e aplique a mudança.

CLI

Use estes comandos na linha de comando configurar uma URL para um perfil de conexão (grupo de túneis) e permitir a gota-para baixo do grupo de túneis. Repita como necessário para cada grupo para que você quer configurar uma URL.

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Q e A

Pergunta:

Como você configura a grupo-URL se o gateway de VPN ASA é atrás de um dispositivo NAT?

Resposta:

O host/URL que o usuário incorpora será usado para o mapeamento do grupo. Consequentemente, você tem que usar o endereço do NAT'd, não o endereço real na interface externa do ASA. A melhor alternativa é usar o FQDN em vez do endereço IP de Um ou Mais Servidores Cisco ICM NT para o mapeamento grupo-URL.

Todo o mapeamento é executado no nível do protocolo HTTP (baseado na informação que o navegador envia) e uma URL é composta para traçar da informação em cabeçalhos HTTP entrantes. O nome de host ou o IP são tomados do encabeçamento do host e do resto da URL da linha do pedido do HTTP. Isto significa que o host/URL que o usuário entra estará usado para o mapeamento do grupo.

Verificar

Navegue à página de login WebVPN do ASA para verificar que a gota-para baixo está permitida e que os pseudônimos aparecem.

/image/gif/paws/98580/enable-group-dropdown-3.gif

Navegue à página de login WebVPN do ASA para verificar que a gota-para baixo está permitida e que a URL aparece.

enable-group-dropdown-5.gif

Troubleshooting

  • Se a lista de drop-down não aparece, esteja certo que você a permitiu e que os pseudônimos estão configurados. Os usuários fazem frequentemente uma destas coisas, mas não a outro.

  • Seja certo que você está conectando à base URL do ASA. A lista de drop-down não aparece se você conecta ao ASA usando uma grupo-URL, porque a finalidade da grupo-URL é executar a seleção de grupo.


Informações Relacionadas


Document ID: 98580