Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA 8.x : Autoriser les utilisateurs à sélectionner un groupe au niveau de la connexion WebVPN via la méthode Group-Alias et Group-URL

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu

CLI
CLI

Introduction

Les utilisateurs de VPN SSL (AnyConnect/SVC et sans client) peuvent choisir que le groupe de tunnel [profil de connexion dans la masselotte d'Adaptive Security Device Manager (ASDM)] pour accéder à suivre ces différentes méthodes :

  • groupe-URL

  • groupe-pseudonyme (liste déroulante de groupe de tunnel sur la page de connexion)

  • certificat-MAPS, si utilisant des Certificats

Ce document explique comment configurer l'appliance de sécurité adaptable (ASA) pour permettre à des utilisateurs pour sélectionner un groupe par l'intermédiaire d'un menu déroulant quand ils ouvrent une session au service de webvpn. Les groupes qui apparaissent dans le menu sont des pseudonymes ou URLs de vrais profils de connexion (groupes de tunnel) configurés sur l'ASA. Ce document montre comment créer des pseudonymes et l'URLs pour des profils de connexion (groupes de tunnel) et puis configurer le déroulant pour apparaître. Cette configuration est exécutée à l'aide d'ASDM 6.0(2) sur un ASA exécutant le logiciel version 8.0(2).

Remarque: La version 7.2.x ASA prend en charge deux méthodes : groupe-URL et liste de groupe-pseudonyme.

Remarque: La version 8.0.x ASA prend en charge trois méthodes : groupe-URL, groupe-pseudonyme, et certificat-MAPS.

Conditions préalables

Configuration de base de webvpn

Configurez un pseudonyme et activez le déroulant

Dans cette section, vous êtes présenté avec les informations pour configurer un pseudonyme pour un profil de connexion (groupe de tunnel) et puis pour configurer ces pseudonymes pour apparaître dans le menu déroulant de groupe sur la page de connexion de webvpn.

ASDM

Terminez-vous ces étapes afin de configurer un pseudonyme pour un profil de connexion (groupe de tunnel) dans l'ASDM. Répétez selon les besoins pour chaque groupe pour lequel vous voulez configurer un pseudonyme.

  1. Choisissez la configuration > VPN SSL sans client Access > profils de connexion.

  2. Sélectionnez un profil de connexion et cliquez sur Edit.

  3. Écrivez un pseudonyme dans le domaine de pseudonymes.

    enable-group-dropdown-1.gif

  4. Cliquez sur OK et appliquez la modification.

  5. Dans les profils fenêtre de connexion, le contrôle permettent à l'utilisateur pour sélectionner la connexion, identifiée par pseudonyme dans la table ci-dessus, à la page de connexion.

    /image/gif/paws/98580/enable-group-dropdown-2.gif

CLI

Utilisez ces commandes à la ligne de commande de configurer un pseudonyme pour un profil de connexion (groupe de tunnel) et d'activer le déroulant de groupe de tunnel. Répétez selon les besoins pour chaque groupe pour lequel vous voulez configurer un pseudonyme.

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Configurez un URL et activez le déroulant

Dans cette section, vous êtes présenté avec les informations pour configurer un URL pour un profil de connexion (groupe de tunnel) et puis pour configurer ces l'URLs à apparaître dans le menu déroulant de groupe sur la page de connexion de webvpn. Un avantage d'utiliser le groupe-URL au-dessus du groupe-pseudonyme (déroulant de groupe) est que vous n'exposez pas les noms de groupe comme le fait la dernière méthode.

ASDM

Il y a deux méthodes utilisées pour spécifier le Group-URL dans l'ASDM :

  • Méthode de profil - complètement opérationnelle

    Éditez le profil à C.A. et modifiez le champ de <HostAddress>.

    Sur Windows 2000/XP le fichier des profils par défaut (par exemple, CiscoAnyConnectProfile.xml) est dans le répertoire : Utilisateurs \ données des applications \ Cisco de C:\Documents and Settings\All \ Cisco AnyConnect VPN Client \ profil.

    L'emplacement pour le vista est légèrement différent : AnyConnect VPN Client \ profil de C:\ProgramData\Cisco\Cisco.

  • Écrivez la chaîne d'URL de groupe dans le connecter pour mettre en place.

    Trois formats des chaînes d'URL de groupe sont pris en charge :

    • https://asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com (réservé au domaine, aucun chemin)

Terminez-vous ces étapes afin de configurer un URL pour un profil de connexion (groupe de tunnel) dans l'ASDM. Répétez selon les besoins pour chaque groupe pour lequel vous voulez configurer un URL.

  1. Choisissez la configuration > VPN SSL sans client Access > panneau de VPN SSL de Profiles>Advanced>Clientless de connexion.

  2. Sélectionnez un profil de connexion et cliquez sur Edit.

  3. Écrivez un URL dans le domaine URLs de groupe.

    enable-group-dropdown-4.gif

  4. Cliquez sur OK et appliquez la modification.

CLI

Utilisez ces commandes à la ligne de commande de configurer un URL pour un profil de connexion (groupe de tunnel) et d'activer le déroulant de groupe de tunnel. Répétez selon les besoins pour chaque groupe pour lequel vous voulez configurer un URL.

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Q et A

Question :

Comment configurez-vous le groupe-URL si la passerelle VPN ASA est derrière un périphérique NAT ?

Réponse :

Le host/URL que l'utilisateur écrit sera utilisé pour le mappage de groupe. Par conséquent, vous devez utiliser l'adresse de NAT'd, pas l'adresse réelle sur les ASA en dehors de l'interface. La meilleure alternative est d'utiliser le FQDN au lieu de l'adresse IP pour le mappage groupe-URL.

Tout le mappage est mis en application au niveau de protocole HTTP (basé sur les informations que le navigateur envoie) et un URL se compose pour tracer des informations dans les en-têtes entrantes de HTTP. Le nom d'hôte ou l'IP est pris de l'en-tête d'hôte et du reste de l'URL de la ligne de demande de HTTP. Ceci signifie que le host/URL que l'utilisateur entre sera utilisé pour le mappage de groupe.

Vérifiez

Naviguez vers la page de connexion de webvpn de l'ASA pour vérifier que le déroulant est activé et que les pseudonymes apparaissent.

/image/gif/paws/98580/enable-group-dropdown-3.gif

Naviguez vers la page de connexion de webvpn de l'ASA pour vérifier que le déroulant est activé et que l'URL apparaît.

enable-group-dropdown-5.gif

Dépannez

  • Si la liste déroulante n'apparaît pas, soyez certain que vous l'avez activée et que des pseudonymes sont configurés. Les utilisateurs font souvent une de ces choses, mais pas l'autre.

  • Soyez sûr que vous vous connectez à l'URL de base de l'ASA. La liste déroulante n'apparaît pas si vous vous connectez à l'ASA utilisant un groupe-URL, car le but du groupe-URL est d'exécuter la sélection de groupe.


Informations connexes


Document ID: 98580