Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA 8.x: Permita que los usuarios seleccionen a un grupo en el login del WebVPN vía el Grupo-alias y el método Grupo-URL

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (27 Enero 2009) | Inglés (22 Agosto 2015) | Comentarios


Contenido

CLI
CLI

Introducción

Los usuarios de VPN SSL (AnyConnect/SVC y clientless) pueden elegir que [Connection Profile in Adaptive Security Device Manager (ASDM) lingo] del grupo de túnel para acceder usando estos métodos distintos:

  • grupo-URL

  • grupo-alias (lista desplegable del grupo de túnel en la página de registro)

  • certificado-correspondencias, si usa los Certificados

Este documento demuestra cómo configurar el dispositivo de seguridad adaptante (ASA) para permitir que los usuarios seleccionen a un grupo vía un menú desplegable cuando inician sesión al servicio del WebVPN. Los grupos que aparecen en el menú son alias o URL de los perfiles de la conexión real (grupos de túnel) configurados en el ASA. Este documento ilustra cómo crear los alias y los URL para los perfiles de la conexión (grupos de túnel) y después configurar el descenso-abajo para aparecer. Esta configuración se realiza mediante ASDM 6.0(2) en un ASA que ejecuta la versión de software 8.0(2).

Nota: La Versión de ASA 7.2.x soporta dos métodos: grupo-URL y lista del grupo-alias.

Nota: La Versión de ASA 8.0.x soporta tres métodos: grupo-URL, grupo-alias, y certificado-correspondencias.

prerrequisitos

Configuración básica del WebVPN

Configure un alias y habilite el descenso-abajo

En esta sección, le presentan con la información para configurar un alias para un perfil de la conexión (grupo de túnel) y después para configurar esos alias para aparecer en el menú desplegable del grupo en la página de registro del WebVPN.

ASDM

Complete estos pasos para configurar un alias para un perfil de la conexión (grupo de túnel) en el ASDM. Relance cuanto sea necesario para cada grupo para quien usted quiera configurar un alias.

  1. Elija la configuración > el acceso > los perfiles de la conexión del clientless SSL VPN.

  2. Seleccione un perfil de la conexión y el tecleo edita.

  3. Ingrese un alias en el campo de los alias.

    enable-group-dropdown-1.gif

  4. El Haga Click en OK y aplica el cambio.

  5. En los perfiles de la conexión ventana, el control permite que el usuario seleccione la conexión, identificada por el alias en la tabla arriba, en la página de registro.

    /image/gif/paws/98580/enable-group-dropdown-2.gif

CLI

Utilice estos comandos en la línea de comando de configurar un alias para un perfil de la conexión (grupo de túnel) y de habilitar el descenso-abajo del grupo de túnel. Relance cuanto sea necesario para cada grupo para quien usted quiera configurar un alias.

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Configure un URL y habilite el descenso-abajo

En esta sección, le presentan con la información para configurar un URL para un perfil de la conexión (grupo de túnel) y después para configurar esos URL para aparecer en el menú desplegable del grupo en la página de registro del WebVPN. Una ventaja de usar el grupo-URL sobre el grupo-alias (descenso-abajo del grupo) es que usted no expone los nombres del grupo como lo hace el último método.

ASDM

Hay dos métodos usados para especificar el Grupo-URL en el ASDM:

  • Método del perfil - completamente - operativo

    Edite el perfil AC y modifique el campo del <HostAddress>.

    En Windows 2000/XP el archivo de perfil predeterminado (por ejemplo, CiscoAnyConnectProfile.xml) está en el directorio: Usuarios \ datos de aplicación \ Cisco \ Cliente Cisco AnyConnect VPN \ perfil de C:\Documents and Settings\All.

    La ubicación para Vista es levemente diferente: Cliente VPN \ perfil de C:\ProgramData\Cisco\Cisco AnyConnect.

  • Ingrese la cadena URL del grupo en la conexión para colocar.

    Tres formatos de las cadenas URL del grupo se soportan:

    • https://asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com (dominio-solamente, ninguna trayectoria)

Complete estos pasos para configurar un URL para un perfil de la conexión (grupo de túnel) en el ASDM. Relance cuanto sea necesario para cada grupo para quien usted quiera configurar un URL.

  1. Elija el panel de Profiles>Advanced>Clientless SSL VPN de la configuración > del acceso > de la conexión del clientless SSL VPN.

  2. Seleccione un perfil de la conexión y el tecleo edita.

  3. Ingrese un URL en el campo URL del grupo.

    enable-group-dropdown-4.gif

  4. El Haga Click en OK y aplica el cambio.

CLI

Utilice estos comandos en la línea de comando de configurar un URL para un perfil de la conexión (grupo de túnel) y de habilitar el descenso-abajo del grupo de túnel. Relance cuanto sea necesario para cada grupo para quien usted quiera configurar un URL.

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Q y A

Pregunta:

¿Cómo usted configura el grupo-URL si el gateway de VPN ASA está detrás de un dispositivo NAT?

Respuesta:

El host/URL que el usuario ingresa será utilizado para asociar del grupo. Por lo tanto, usted tiene que utilizar el direccionamiento del NAT'd, no la dirección real en la interfaz exterior ASA. La mejor alternativa es utilizar el FQDN en vez de la dirección IP para la asignación grupo-URL.

Todo asociando se implementa en el nivel del protocolo HTTP (basado en la información que el hojeador envía) y un URL se compone para asociar de la información en las encabezados entrantes HTTP. El nombre del host o el IP se toma de la encabezado del host y del resto del URL de la línea del pedido de HTTP. Esto significa que el host/URL que el usuario ingresa será utilizado para asociar del grupo.

Verificación

Navegue a la página de registro del WebVPN del ASA para verificar que el descenso-abajo está habilitado y que aparecen los alias.

/image/gif/paws/98580/enable-group-dropdown-3.gif

Navegue a la página de registro del WebVPN del ASA para verificar que el descenso-abajo está habilitado y que aparece el URL.

enable-group-dropdown-5.gif

Troubleshooting

  • Si no aparece la lista desplegable, esté seguro que usted la ha habilitado y que los alias están configurados. Los usuarios hacen a menudo una de estas cosas, pero no la otra.

  • Esté seguro que usted está conectando con la base URL del ASA. La lista desplegable no aparece si usted conecta con el ASA usando un grupo-URL, pues el propósito del grupo-URL es realizar Group Selection (Selección de grupos).


Información Relacionada


Document ID: 98580