ASA: Smart Tunnel mit ASDM-Konfigurationsbeispiel

Download-Optionen

  • PDF     (356.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (201.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (431.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:22. April 2021
Dokument-ID:111007

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Ein Smart Tunnel ist eine Verbindung zwischen einer TCP-basierten Anwendung und einem privaten Standort. Dabei wird eine Client-lose (Browser-basierte) SSL VPN-Sitzung mit der Security Appliance als Pfad und der Security Appliance als Proxyserver verwendet. Sie können Anwendungen identifizieren, denen Sie Zugriff auf den Smart Tunnel gewähren möchten, und den lokalen Pfad für jede Anwendung angeben. Bei Anwendungen, die unter Microsoft Windows ausgeführt werden, können Sie auch eine Übereinstimmung des SHA-1-Hashs der Prüfsumme als Bedingung für die Gewährung des Smart Tunnel-Zugriffs benötigen.

    Lotus SameTime und Microsoft Outlook Express sind Beispiele für Anwendungen, für die Sie möglicherweise Zugriff auf intelligente Tunnel gewähren möchten.

    Je nachdem, ob es sich bei der Anwendung um einen Client oder eine webfähige Anwendung handelt, ist für die Konfiguration des Smart Tunnels eines der folgenden Verfahren erforderlich:

    • Erstellen Sie eine oder mehrere Smart Tunnel-Listen der Client-Anwendungen, und weisen Sie die Liste dann den Gruppenrichtlinien oder lokalen Benutzerrichtlinien zu, für die Sie den Smart Tunnel-Zugriff bereitstellen möchten.

    • Erstellen Sie einen oder mehrere Lesezeichenlisteneinträge, die die URLs der webfähigen Anwendungen angeben, die für den Zugriff auf intelligente Tunnel berechtigt sind, und weisen Sie die Liste dann den DAPs, Gruppenrichtlinien oder lokalen Benutzerrichtlinien zu, für die Sie den Zugriff auf intelligente Tunnel ermöglichen möchten.

      Sie können auch webaktivierte Anwendungen auflisten, für die die Übermittlung von Anmeldeinformationen bei Smart Tunnel-Verbindungen über SSL VPN-Sitzungen ohne Client automatisiert werden soll.

    In diesem Dokument wird davon ausgegangen, dass die Konfiguration des Cisco AnyConnect SSL VPN Client bereits vorgenommen wurde und ordnungsgemäß funktioniert, sodass die Smart Tunnel-Funktion in der vorhandenen Konfiguration konfiguriert werden kann. Weitere Informationen zur Konfiguration des Cisco AnyConnect SSL VPN-Clients finden Sie unter ASA 8.x: Gestatten Sie Split-Tunneling für den AnyConnect VPN-Client im ASA-Konfigurationsbeispiel.

    Hinweis: Vergewissern Sie sich, dass die Schritte 4.b bis 4.l, die im Abschnitt ASA-Konfiguration mit ASDM 6.0(2) der ASA 8.x beschrieben sind: Split Tunneling für AnyConnect VPN-Client im ASA-Konfigurationsbeispiel wird nicht ausgeführt, um die Smart Tunnel-Funktion zu konfigurieren.

    In diesem Dokument wird die Konfiguration von Smart Tunnels auf Cisco Adaptive Security Appliances der Serie ASA 5500 beschrieben.

    Voraussetzungen

    Anforderungen

    Es gibt keine spezifischen Anforderungen für dieses Dokument.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Adaptive Security Appliances der Serie ASA 5500 mit Softwareversion 8.0(2)

    • PC mit Microsoft Vista, Windows XP SP2 oder Windows 2000 Professional SP4 mit Microsoft Installer Version 3.1

    • Cisco Adaptive Security Device Manager (ASDM) Version 6.0(2)

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

    Konventionen

    Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

    Hintergrundinformationen

    Smart Tunnel-Zugriffskonfiguration

    Die Smart Tunnel-Tabelle zeigt die Smart Tunnel-Listen an, die jeweils eine oder mehrere Anwendungen identifizieren, die für den Smart Tunnel-Zugriff infrage kommen, sowie das zugehörige Betriebssystem (BS). Da jede Gruppenrichtlinie oder lokale Benutzerrichtlinie eine Smart Tunnel-Liste unterstützt, müssen Sie die zu unterstützenden nicht browserbasierten Anwendungen in einer Smart Tunnel-Liste gruppieren. Nach der Konfiguration einer Liste können Sie diese einer oder mehreren Gruppenrichtlinien oder lokalen Benutzerrichtlinien zuweisen.

    Im Fenster "Smart Tunnels" (Konfiguration > Remote Access VPN > Clientless SSL VPN Access > Portal > Smart Tunnels) können Sie folgende Schritte durchführen:

    • Hinzufügen einer Smart Tunnel-Liste und Hinzufügen von Anwendungen zur Liste

      Gehen Sie wie folgt vor, um eine Smart Tunnel-Liste hinzuzufügen und der Liste Anwendungen hinzuzufügen:

      1. Klicken Sie auf Hinzufügen.

        Das Dialogfeld Smart Tunnel-Liste hinzufügen wird angezeigt.

      2. Geben Sie einen Namen für die Liste ein, und klicken Sie auf Hinzufügen.

        ASDM öffnet das Dialogfeld Smart Tunnel-Eintrag hinzufügen, in dem Sie der Liste die Attribute eines Smart Tunnels zuweisen können.

      3. Nachdem Sie die gewünschten Attribute für den Smart Tunnel zugewiesen haben, klicken Sie auf OK.

        ASDM zeigt diese Attribute in der Liste an.

      4. Wiederholen Sie diese Schritte, um die Liste abzuschließen, und klicken Sie dann im Dialogfeld Smart Tunnel-Liste hinzufügen auf OK.

    • Ändern einer Smart Tunnel-Liste

      Gehen Sie wie folgt vor, um eine Smart Tunnel-Liste zu ändern:

      1. Doppelklicken Sie auf die Liste, oder wählen Sie die Liste in der Tabelle aus, und klicken Sie auf Bearbeiten.

      2. Klicken Sie auf Hinzufügen, um einen neuen Satz von Smart Tunnel-Attributen in die Liste einzufügen, oder wählen Sie einen Eintrag in der Liste aus, und klicken Sie auf Bearbeiten oder Löschen.

    • Liste entfernen

      Um eine Liste zu entfernen, wählen Sie die Liste in der Tabelle aus, und klicken Sie auf Löschen.

    • Lesezeichen hinzufügen

      Nach der Konfiguration und Zuweisung einer Smart Tunnel-Liste können Sie einen Smart Tunnel einfach verwenden, indem Sie ein Lesezeichen für den Dienst hinzufügen und im Dialogfeld Lesezeichen hinzufügen oder bearbeiten auf die Option Smart Tunnel aktivieren klicken.

    Der Zugriff über einen Smart Tunnel ermöglicht einer Client-TCP-basierten Anwendung die Verwendung einer browserbasierten VPN-Verbindung, um eine Verbindung zu einem Dienst herzustellen. Im Vergleich zu Plug-ins und der älteren Technologie bietet es den Benutzern folgende Vorteile:

    • Der Smart Tunnel bietet eine bessere Leistung als Plug-Ins.

    • Anders als bei der Port-Weiterleitung vereinfacht der Smart Tunnel die Benutzererfahrung, da die lokale Anwendung nicht mit dem lokalen Port verbunden werden muss.

    • Anders als bei der Port-Weiterleitung sind für Smart Tunnels keine Administratorrechte erforderlich.

    Anforderungen, Einschränkungen und Einschränkungen von Smart Tunnels

    Allgemeine Anforderungen und Einschränkungen

    Für den Smart Tunnel gelten die folgenden allgemeinen Anforderungen und Einschränkungen:

    • Auf dem Remotehost, von dem der Smart Tunnel stammt, muss eine 32-Bit-Version von Microsoft Windows Vista, Windows XP oder Windows 2000 ausgeführt werden. oder Mac OS 10.4 oder 10.5.

    • Die automatische Anmeldung über Smart Tunnel unterstützt nur Microsoft Internet Explorer unter Windows.

    • Der Browser muss mit Java, Microsoft ActiveX oder beidem aktiviert sein.

    • Der Smart Tunnel unterstützt nur Proxys, die zwischen Computern, auf denen Microsoft Windows ausgeführt wird, und der Sicherheits-Appliance platziert sind. Der Smart Tunnel verwendet die Internet Explorer-Konfiguration (d. h. die Konfiguration, die für den systemweiten Einsatz unter Windows vorgesehen ist). Wenn der Remotecomputer einen Proxyserver benötigt, um die Sicherheits-Appliance zu erreichen, muss die URL des terminierenden Endes der Verbindung in der Liste der URLs enthalten sein, die von den Proxydiensten ausgeschlossen sind. Wenn in der Proxy-Konfiguration angegeben ist, dass der für die ASA bestimmte Datenverkehr über einen Proxy geleitet wird, wird der gesamte Smart Tunnel-Datenverkehr über den Proxy geleitet.

      In einem HTTP-basierten Szenario für den Remote-Zugriff ermöglicht ein Subnetz manchmal keinen Benutzerzugriff auf das VPN-Gateway. In diesem Fall stellt ein Proxy vor der ASA zur Weiterleitung des Datenverkehrs zwischen dem Web und dem Standort des Endbenutzers den Web-Zugriff bereit. Jedoch können nur VPN-Benutzer Proxys konfigurieren, die vor der ASA platziert werden. Dabei müssen sie sicherstellen, dass diese Proxys die CONNECT-Methode unterstützen. Für Proxys, die eine Authentifizierung erfordern, unterstützt Smart Tunnel nur den grundlegenden Authentifizierungstyp "Digest".

    • Wenn der Smart Tunnel startet, tunnelt die Security Appliance den gesamten Datenverkehr vom Browser-Prozess, den der Benutzer zum Initiieren der Client-losen Sitzung verwendet hat. Wenn der Benutzer eine weitere Instanz des Browserprozesses startet, wird der gesamte Datenverkehr an den Tunnel weitergeleitet. Wenn der Browser-Prozess identisch ist und die Sicherheits-Appliance keinen Zugriff auf eine bestimmte URL bietet, kann der Benutzer diese URL nicht öffnen. Als Problemumgehung kann der Benutzer einen anderen Browser verwenden als den, über den die Client-lose Sitzung eingerichtet wird.

    • Bei einem Stateful Failover werden Smart-Tunnel-Verbindungen nicht beibehalten. Benutzer müssen nach einem Failover erneut eine Verbindung herstellen.

    Windows - Anforderungen und Einschränkungen

    Die folgenden Anforderungen und Einschränkungen gelten nur für Windows:

    • Nur TCP-basierte Winsock 2-Anwendungen sind für den Zugriff über intelligente Tunnel qualifiziert.

    • Die Sicherheits-Appliance unterstützt den Microsoft Outlook Exchange (MAPI)-Proxy nicht. Weder Port Forwarding noch der Smart Tunnel unterstützen MAPI. Für die Microsoft Outlook Exchange-Kommunikation mit dem MAPI-Protokoll müssen Remote-Benutzer AnyConnect verwenden.

    • Benutzer von Microsoft Windows Vista, die Smart Tunnel oder Port Forwarding verwenden, müssen die URL der ASA der Zone für vertrauenswürdige Sites hinzufügen. Um auf die Zone für vertrauenswürdige Sites zuzugreifen, starten Sie Internet Explorer, wählen Sie Extras > Internetoptionen, und klicken Sie auf die Registerkarte Sicherheit. Vista-Benutzer können den geschützten Modus auch deaktivieren, um den Zugriff über Smart Tunnels zu vereinfachen. Cisco empfiehlt jedoch, diese Methode zu verbieten, da sie die Anfälligkeit für Angriffe erhöht.

    Mac OS - Anforderungen und Einschränkungen

    Diese Anforderungen und Einschränkungen gelten nur für Mac OS:

    • Safari 3.1.1 oder höher oder Firefox 3.0 oder höher

    • Sun JRE 1.5 oder höher

    • Nur Anwendungen, die von der Portalseite gestartet werden, können intelligente Tunnelverbindungen herstellen. Diese Anforderung umfasst die Smart Tunnel-Unterstützung für Firefox. Wenn Sie Firefox verwenden, um eine andere Instanz von Firefox während der ersten Verwendung eines Smart Tunnels zu starten, ist das Benutzerprofil cisco_st erforderlich. Wenn dieses Benutzerprofil nicht vorhanden ist, fordert die Sitzung den Benutzer auf, ein Profil zu erstellen.

    • Anwendungen, die TCP verwenden und dynamisch mit der SSL-Bibliothek verknüpft sind, können über einen Smart Tunnel arbeiten.

    • Smart Tunnel unterstützt diese Funktionen und Anwendungen unter Mac OS nicht:

      • Proxy-Services

      • Automatische Anmeldung

      • Anwendungen, die zweistufige Namensräume verwenden

      • Konsolenbasierte Anwendungen wie Telnet, SSH und cURL

      • Anwendungen, die dlopen oder dlsym zum Auffinden von libsocket-Aufrufen verwenden

      • Statisch verknüpfte Anwendungen zum Auffinden von Libsocket-Aufrufen

    Konfigurieren

    In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

    Smart Tunnel-Liste hinzufügen oder bearbeiten

    Im Dialogfeld Smart Tunnel-Liste hinzufügen können Sie der Konfiguration der Sicherheits-Appliance eine Liste der Smart Tunnel-Einträge hinzufügen. Im Dialogfeld Smart Tunnel-Liste bearbeiten können Sie den Inhalt der Liste ändern.

    Feld

    Listenname: Geben Sie einen eindeutigen Namen für die Liste der Anwendungen oder Programme ein. Die Anzahl der Zeichen im Namen ist nicht beschränkt. Verwenden Sie keine Leerzeichen. Nach der Konfiguration der Smart Tunnel-Liste wird der Listenname neben dem Smart Tunnel List-Attribut in den Clientless-SSL-VPN-Gruppenrichtlinien und den lokalen Benutzerrichtlinien angezeigt. Weisen Sie einen Namen zu, der Ihnen hilft, seinen Inhalt oder Zweck von anderen Listen zu unterscheiden, die Sie wahrscheinlich konfigurieren werden.

    Smart Tunnel-Eintrag hinzufügen oder bearbeiten

    Im Dialogfeld Smart Tunnel-Eintrag hinzufügen oder bearbeiten können Sie die Attribute einer Anwendung in einer Smart Tunnel-Liste angeben.

    • Anwendungs-ID - Geben Sie eine Zeichenfolge ein, um den Eintrag in der Smart Tunnel-Liste zu benennen. Die Zeichenfolge ist für das Betriebssystem eindeutig. In der Regel wird die Anwendung benannt, der der Zugriff über einen intelligenten Tunnel gewährt wird. Um mehrere Versionen einer Anwendung zu unterstützen, für die Sie verschiedene Pfade oder Hashwerte angeben möchten, können Sie dieses Attribut verwenden, um Einträge zu unterscheiden, indem Sie das Betriebssystem sowie den Namen und die Version der Anwendung angeben, die von den einzelnen Listeneinträgen unterstützt werden. Die Zeichenfolge kann bis zu 64 Zeichen lang sein.

    • Prozessname: Geben Sie den Dateinamen oder den Pfad zur Anwendung ein. Die Zeichenfolge kann bis zu 128 Zeichen lang sein.

      Windows erfordert eine exakte Übereinstimmung dieses Werts auf der rechten Seite des Anwendungspfads auf dem Remotehost, um die Anwendung für den Zugriff auf den intelligenten Tunnel zu qualifizieren. Wenn Sie nur den Dateinamen für Windows angeben, erzwingt SSL VPN keine Standortbeschränkung auf dem Remotehost, um die Anwendung für den Zugriff auf intelligente Tunnel zu qualifizieren.

      Wenn Sie einen Pfad angeben und der Benutzer die Anwendung an einem anderen Speicherort installiert hat, ist diese Anwendung nicht qualifiziert. Die Anwendung kann sich auf einem beliebigen Pfad befinden, solange die rechte Seite der Zeichenfolge mit dem von Ihnen eingegebenen Wert übereinstimmt.

      Um eine Anwendung für den Zugriff auf intelligente Tunnel zu autorisieren, wenn sie sich auf einem von mehreren Pfaden auf dem Remotehost befindet, geben Sie entweder nur den Namen und die Erweiterung der Anwendung in diesem Feld an, oder erstellen Sie einen eindeutigen Eintrag für intelligente Tunnel für jeden Pfad.

      Wenn Sie für Windows den Zugriff auf einen intelligenten Tunnel zu einer Anwendung hinzufügen möchten, die von der Eingabeaufforderung gestartet wurde, müssen Sie "cmd.exe" im Prozessnamen eines Eintrags in der Liste des intelligenten Tunnels angeben und den Pfad zur Anwendung selbst in einem anderen Eintrag angeben, da "cmd.exe" das übergeordnete Element der Anwendung ist.

      Mac OS benötigt den vollständigen Pfad zum Prozess und berücksichtigt die Groß- und Kleinschreibung. Um zu vermeiden, dass für jeden Benutzernamen ein Pfad angegeben wird, fügen Sie eine Tilde (~) vor den Teilpfad ein (z. B. ~/bin/vnc).

    • OS (Betriebssystem): Klicken Sie auf Windows oder Mac, um das Host-Betriebssystem der Anwendung anzugeben.

    • Hash - (Optional und nur für Windows anwendbar) Um diesen Wert zu erhalten, geben Sie die Prüfsumme der ausführbaren Datei in ein Dienstprogramm ein, das einen Hash mit dem SHA-1-Algorithmus berechnet. Ein Beispiel für ein solches Dienstprogramm ist der Microsoft File Checksum Integrity Verifier (FCIV), der unter Verfügbarkeit und Beschreibung des File Checksum Integrity Verifier-Dienstprogramms verfügbar ist. Platzieren Sie nach der Installation von FCIV eine temporäre Kopie der zu hashenden Anwendung in einem Pfad, der keine Leerzeichen enthält (z. B. c:/fciv.exe), und geben Sie dann die Anwendung fciv.exe -sha1 in der Befehlszeile ein (z. B. fciv.exe -sha1 c:\msimn.exe), um den SHA-1-Hash anzuzeigen.

      Der SHA-1-Hash ist immer 40 Hexadezimalzeichen.

      Bevor eine Anwendung für den Zugriff über einen intelligenten Tunnel autorisiert wird, berechnet Clientless-SSL-VPN den Hash der Anwendung, der mit der Anwendungs-ID übereinstimmt. Wenn das Ergebnis mit dem Wert von Hash übereinstimmt, qualifiziert es die Anwendung für den Zugriff auf intelligente Tunnel.

      Die Eingabe eines Hashs bietet eine hinreichende Gewähr, dass SSL VPN keine unzulässige Datei qualifiziert, die mit der in der Anwendungs-ID angegebenen Zeichenfolge übereinstimmt. Da die Prüfsumme je nach Version oder Patch einer Anwendung variiert, kann der eingegebene Hash nur mit einer Version oder einem Patch auf dem Remotehost übereinstimmen. Um einen Hash für mehrere Versionen einer Anwendung anzugeben, erstellen Sie für jeden Hashwert einen eindeutigen Smart Tunnel-Eintrag.

      Hinweis: Sie müssen die Smart Tunnel-Liste zu einem späteren Zeitpunkt aktualisieren, wenn Sie Hash-Werte eingeben und zukünftige Versionen oder Patches einer Anwendung mit Smart Tunnel-Zugriff unterstützen möchten. Ein plötzliches Problem mit dem Zugriff durch intelligente Tunnel kann ein Hinweis darauf sein, dass die Anwendung, die Hashwerte enthält, bei einem Anwendungs-Upgrade nicht auf dem neuesten Stand ist. Sie können dieses Problem vermeiden, indem Sie keinen Hash eingeben.

    • Wenn Sie die Smart Tunnel-Liste konfiguriert haben, müssen Sie sie einer Gruppenrichtlinie oder einer lokalen Benutzerrichtlinie zuweisen, damit sie wie folgt aktiviert wird:

      • Um die Liste einer Gruppenrichtlinie zuzuweisen, wählen Sie Config > Remote Access VPN > Clientless SSL VPN Access > Group Policies > Add or Edit > Portal aus, und wählen Sie den Smart Tunnel-Namen aus der Dropdown-Liste neben dem Smart Tunnel List-Attribut aus.

      • Um die Liste einer lokalen Benutzerrichtlinie zuzuweisen, wählen Sie Config > Remote Access VPN > AAA Setup > Local Users > Add or Edit > VPN Policy > Clientless SSL VPN aus, und wählen Sie den Smart Tunnel-Namen aus der Dropdown-Liste neben dem Smart Tunnel List-Attribut aus.

    ASA Smart Tunnel (Lotus-Beispiel)-Konfiguration mit ASDM 6.0(2)

    In diesem Dokument wird davon ausgegangen, dass die Basiskonfiguration, z. B. die Schnittstellenkonfiguration, abgeschlossen ist und ordnungsgemäß funktioniert.

    Gehen Sie wie folgt vor, um einen Smart Tunnel zu konfigurieren:

    Hinweis: In diesem Konfigurationsbeispiel wird der Smart Tunnel für die Lotus-Anwendung konfiguriert.

    1. Wählen Sie Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Smart Tunnels, um die Smart Tunnel-Konfiguration zu starten.

      smart-tunnel-asa-01.gif

    2. Klicken Sie auf Hinzufügen.

      smart-tunnel-asa-02.gif

      Das Dialogfeld Smart Tunnel-Liste hinzufügen wird angezeigt.

      smart-tunnel-asa-03.gif

    3. Klicken Sie im Dialogfeld Smart Tunnel-Liste hinzufügen auf Hinzufügen.

      Das Dialogfeld Smart Tunnel-Eintrag hinzufügen wird angezeigt.

      smart-tunnel-asa-04.gif

    4. Geben Sie im Feld Anwendungs-ID eine Zeichenfolge ein, um den Eintrag in der Smart Tunnel-Liste zu identifizieren.

    5. Geben Sie einen Dateinamen und eine Erweiterung für die Anwendung ein, und klicken Sie auf OK.

    6. Klicken Sie im Dialogfeld Smart Tunnel-Liste hinzufügen auf OK.

      smart-tunnel-asa-05.gif

      Hinweis: Hier sehen Sie den entsprechenden CLI-Konfigurationsbefehl:

      Cisco ASA 8.0 (2) 
      ciscoasa(config)#smart-tunnel list lotus LotusSametime connect.exe

    7. Weisen Sie die Liste den Gruppenrichtlinien und lokalen Benutzerrichtlinien zu, für die Sie den Smart Tunnel-Zugriff auf die zugeordneten Anwendungen bereitstellen möchten. Gehen Sie dazu wie folgt vor:

      Um die Liste einer Gruppenrichtlinie zuzuweisen, wählen Sie Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies (Konfiguration > RAS-VPN > Clientless SSL VPN-Zugriff > Gruppenrichtlinien aus, und klicken Sie auf Add (Hinzufügen) oder Edit (Bearbeiten).

      smart-tunnel-asa-06.gif

      Das Dialogfeld "Interne Gruppenrichtlinie hinzufügen" wird angezeigt.

      smart-tunnel-asa-07.gif

    8. Klicken Sie im Dialogfeld Interne Gruppenrichtlinie hinzufügen auf Portal, wählen Sie den Smart Tunnel-Namen aus der Dropdown-Liste Smart Tunnel List aus, und klicken Sie auf OK.

      Hinweis: In diesem Beispiel wird Lotus als Smart Tunnel-Listenname verwendet.

    9. Um die Liste einer lokalen Benutzerrichtlinie zuzuweisen, wählen Sie Configuration > Remote Access VPN > AAA Setup > Local Users aus, und klicken Sie auf Add, um einen neuen Benutzer zu konfigurieren, oder auf Edit, um einen vorhandenen Benutzer zu bearbeiten.

      smart-tunnel-asa-09.gif

      Das Dialogfeld "Benutzerkonto bearbeiten" wird angezeigt.

      smart-tunnel-asa-08.gif

    10. Klicken Sie im Dialogfeld Edit User Account (Benutzerkonto bearbeiten) auf Clientless SSL VPN, wählen Sie den Smart Tunnel-Namen aus der Dropdown-Liste Smart Tunnel List (Smart-Tunnelliste) aus, und klicken Sie auf OK.

      Hinweis: In diesem Beispiel wird Lotus als Smart Tunnel-Listenname verwendet.

    Die Konfiguration des Smart Tunnels ist abgeschlossen.

    Fehlerbehebung

    Ich kann keine Verbindung über eine als Lesezeichen gespeicherte Smart Tunnel-URL im clientlosen Portal herstellen. Warum tritt dieses Problem auf, und wie kann ich es lösen?

    Dieses Problem tritt aufgrund des in Cisco Bug-ID CSCsx05766 beschriebenen Problems auf (nur für registrierte Kunden) . Um dieses Problem zu beheben, downgraden Sie das Java Runtime Plugin auf eine ältere Version.

    Kann ich die URL eines Smart Tunnel-Links, der in WebVPN konfiguriert ist, verstümmeln?

    Wenn der Smart Tunnel auf der ASA verwendet wird, können Sie die URL nicht verunstalten oder die Adressleiste des Browsers ausblenden. Benutzer können die URLs der in WebVPN konfigurierten Links anzeigen, die den Smart Tunnel verwenden. Dadurch können sie den Port ändern und auf den Server für einen anderen Dienst zugreifen.

    Verwenden Sie zur Behebung dieses Problems WebType-ACLs. Weitere Informationen finden Sie unter WebType Access Control Lists.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    22-Oct-2009
    Erstveröffentlichung

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.