Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA 8.x: Разрешить пользователям выбирать группу при входе в систему WebVPN через метод псевдоним-группа или группа-URL

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание

CLI
CLI

Введение

Пользователи VPN SSL (и AnyConnect/SVC и Безклиентый) могут выбрать который туннельная группа [Профиль подключения в малопонятном жаргоне Менеджера устройств адаптивной безопасности (ASDM) (ASDM)] для доступа к использованию этих других методов:

  • group-url

  • псевдоним группы (выпадающий список туннельной группы на странице входа)

  • карты сертификата, при использовании сертификатов

Этот документ демонстрирует, как настроить Устройство адаптивной защиты (ASA), чтобы позволить пользователям выбирать группу через раскрывающееся меню, когда они входят к сервису WebVPN. Группы, которые появляются в меню, являются или псевдонимами или URL (туннельных групп) профилей реального соединения, настроенных на ASA. Этот документ иллюстрирует, как создать псевдонимы и URL для профилей подключения (туннельные группы) и затем настроить выпадающее для появления. Эта настройка выполняется с использованием ASDM 6.0(2) на устройстве ASA, работающем под управлением ПО версии 8.0(2).

Примечание: Версия ASA 7.2.x поддерживает два метода: URL группы и список псевдонима группы.

Примечание: Версия ASA 8.0.x поддерживает три метода: URL группы, псевдоним группы и карты сертификата.

Предварительные условия

Основная конфигурация WebVPN

Настройте псевдоним и включите выпадающее

В этом разделе вам предоставляют информацию по настройке псевдоним для профиля подключения (туннельная группа) и затем настраиваете те псевдонимы для появления в раскрывающемся меню Группы на странице входа WebVPN.

ASDM

Выполните эти шаги для настройки псевдонима для профиля подключения (туннельная группа) в ASDM. Повторитесь по мере необходимости для каждой группы, для которой вы хотите настроить псевдоним.

  1. Выберите Configuration> Clientless SSL VPN Access> Connection Profiles.

  2. Выберите профиль подключения и нажмите Edit.

  3. Введите псевдоним в поле Aliases.

    enable-group-dropdown-1.gif

  4. Нажмите OK и Apply изменение.

  5. В окне Connection Profiles проверка Позволяет пользователю выбирать соединение, определенное псевдонимом в таблице выше, в странице входа.

    /image/gif/paws/98580/enable-group-dropdown-2.gif

CLI

Используйте эти команды в командной строке, чтобы настроить псевдоним для профиля подключения (туннельная группа) и включить выпадающую туннельную группу. Повторитесь по мере необходимости для каждой группы, для которой вы хотите настроить псевдоним.

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Настройте URL и включите выпадающее

В этом разделе вам предоставляют информацию по настройке URL для профиля подключения (туннельная группа) и затем настраиваете те URL для появления в раскрывающемся меню Группы на странице входа WebVPN. Одно преимущество использования URL группы по псевдониму группы (выпадающая группа) состоит в том, что вы не представляете имена групп, как последний метод делает.

ASDM

Существует два метода, используемые для определения URL Группы в ASDM:

  • Метод профиля - полностью в рабочем состоянии

    Измените Профиль AC и модифицируйте поле <HostAddress>.

    На Windows 2000/XP файл профиля по умолчанию (например, CiscoAnyConnectProfile.xml) находится в каталоге: C : \Documents и VPN AnyConnect Settings\All Users\Application Data\Cisco\Cisco Client\Profile.

    Местоположение для Vista немного отличается: C : \ProgramData\Cisco\Cisco AnyConnect VPN Client\Profile.

  • Введите Строку URL группы в поле Connect To.

    Поддерживаются три формата Строк URL группы:

    • https://asa-vpn1. компания A. Com/Сотрудники

    • asa-vpn1. компания A. Com/Сотрудники

    • asa-vpn1. компания A. com (только для домена, никакой путь)

Выполните эти шаги для настройки URL для профиля подключения (туннельная группа) в ASDM. Повторитесь по мере необходимости для каждой группы, для которой вы хотите настроить URL.

  1. Выберите Configuration> Clientless SSL VPN Access> Connection Profiles> Advanced> панель Clientless SSL VPN.

  2. Выберите профиль подключения и нажмите Edit.

  3. Введите URL в поле Group URLs.

    enable-group-dropdown-4.gif

  4. Нажмите OK и Apply изменение.

CLI

Используйте эти команды в командной строке, чтобы настроить URL для профиля подключения (туннельная группа) и включить выпадающую туннельную группу. Повторитесь по мере необходимости для каждой группы, для которой вы хотите настроить URL.

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Q и A

Вопрос:

Если Шлюз VPN ASA находится позади устройства NAT, как вы настраиваете URL группы?

Ответ:

Хост/URL, который вводит пользователь, будет использоваться для сопоставления группы. Поэтому необходимо использовать адрес NAT ' d, не фактический адрес на внешнем интерфейсе ASA. Лучшая альтернатива должна использовать FQDN вместо IP-адреса для сопоставления URL группы.

Все сопоставление внедрено на уровне HTTP - протокола (на основе информации, которую браузер передает), и URL составлен для сопоставления от информации во входящих Заголовках HTTP. Имя хоста или IP взяты от заголовка хоста и остатка URL от линии запроса HTTP. Это означает, что хост/URL, который вводит пользователь, будет использоваться для сопоставления группы.

Проверка

Перейдите к странице входа WebVPN ASA, чтобы проверить, что выпадающее включено и что появляются псевдонимы.

/image/gif/paws/98580/enable-group-dropdown-3.gif

Перейдите к странице входа WebVPN ASA, чтобы проверить, что выпадающее включено и что появляется URL.

enable-group-dropdown-5.gif

Устранение неполадок

  • Если выпадающий список не появляется, уверены, что вы включили его и что настроены псевдонимы. Пользователи часто делают одну из этих вещей, но не другого.

  • Убедитесь, что вы соединяетесь с базовым URL ASA. Выпадающий список не появляется, если вы соединяетесь с ASA с помощью URL группы, поскольку цель URL группы состоит в том, чтобы выполнить выбор группы.


Дополнительные сведения


Document ID: 98580