ASA 8.X: Configuración de la función AnyConnect Start Before Logon

Introducción

Con la opción Start Before Logon (SBL) habilitada, el usuario ve el cuadro de diálogo de inicio de sesión de la GUI de AnyConnect antes de que aparezca el cuadro de diálogo de inicio de sesión de Windows^®. Esto establece primero la conexión VPN. Disponible solamente para las plataformas Windows, Start Before Logon permite al administrador controlar el uso de scripts de login, almacenamiento en caché de la contraseña, mapear controladores de red a unidades locales y mucho más. Puede utilizar la función SBL para activar la VPN como parte de la secuencia de inicio de sesión. SBL está inhabilitado de forma predeterminada.

Para obtener más información sobre la configuración de las funciones de AnyConnect VPN Client, consulte el capítulo Configuración de AnyConnect VPN de la Guía del administrador de Cisco AnyConnect Secure Mobility Client.

Nota: En el cliente AnyConnect, la única configuración que se realiza para SBL es habilitar la función. Los administradores de red gestionan el procesamiento que se realiza antes del inicio de sesión en función de los requisitos de su situación. Las secuencias de comandos de inicio de sesión se pueden asignar a un dominio o a usuarios individuales. Generalmente, los administradores del dominio tienen archivos por lotes o similares definidos con usuarios o grupos en Active Directory. Tan pronto como el usuario inicia sesión, se ejecuta la secuencia de comandos de inicio de sesión.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco ASA 5500 Series Adaptive Security Appliances que ejecutan la versión de software 8.x

• Cisco AnyConnect VPN versión 2.0

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

El punto de SBL es que conecta un equipo remoto a la infraestructura de la empresa antes de iniciar sesión en el PC. Por ejemplo, un usuario puede encontrarse fuera de la red corporativa física y no tener acceso a los recursos corporativos hasta que su PC se haya unido a la red corporativa. Con SBL activado, el cliente AnyConnect se conecta antes de que el usuario vea la ventana de inicio de sesión de Microsoft. El usuario también debe iniciar sesión, como es habitual, en Windows cuando aparece la ventana de inicio de sesión de Microsoft.

Estas son varias razones para usar SBL:

• El equipo del usuario está unido a una infraestructura de Active Directory.

• El usuario no puede tener credenciales almacenadas en caché en el equipo, es decir, si la directiva de grupo no permite las credenciales almacenadas en caché.

• El usuario debe ejecutar secuencias de comandos de inicio de sesión que se ejecuten desde un recurso de red o que requieran acceso a un recurso de red.

• Un usuario tiene unidades asignadas a la red que requieren autenticación con la infraestructura de Active Directory.

• Los componentes de red, como MS NAP/CS NAC, pueden requerir conexión a la infraestructura.

SBL crea una red que es equivalente a la inclusión en la LAN corporativa local. Con SBL habilitado, dado que el usuario tiene acceso a la infraestructura local, las secuencias de comandos de inicio de sesión que normalmente se ejecutan para un usuario en la oficina también están disponibles para el usuario remoto.

Para obtener información sobre cómo crear secuencias de comandos de inicio de sesión, consulte este artículo de Microsoft TechNet.

Para obtener información acerca de cómo utilizar secuencias de comandos de inicio de sesión local en Windows XP, consulte este artículo de Microsoft.

En otro ejemplo, se puede configurar un sistema para que no permita las credenciales almacenadas en caché para el inicio de sesión en el equipo. En esta situación, los usuarios deben poder comunicarse con un controlador de dominio de la red corporativa para validar sus credenciales antes de acceder al equipo. SBL requiere que una conexión de red esté presente en el momento en que se invoca. En algunos casos, esto no es posible porque una conexión inalámbrica puede depender de las credenciales del usuario para conectarse a la infraestructura inalámbrica. Dado que el modo SBL precede a la fase de credenciales de un inicio de sesión, no hay una conexión disponible en este escenario. En este caso, la conexión inalámbrica debe configurarse para almacenar en caché las credenciales durante el inicio de sesión, o bien debe configurarse otra autenticación inalámbrica para que SBL funcione.

Instalar componentes de inicio de sesión (sólo Windows)

Los componentes Start Before Logon deben instalarse después de instalar el cliente principal. Además, los componentes AnyConnect 2.2 Start Before Logon requieren que se instale la versión 2.2, o posterior, del software cliente AnyConnect principal. Si implementa previamente el cliente AnyConnect y los componentes Start Before Logon con los archivos MSI (por ejemplo, si se encuentra en una gran empresa que tiene su propia implementación de software (Altiris, Active Directory o SMS), debe hacer el pedido correctamente. El orden de la instalación se gestiona automáticamente cuando el administrador carga AnyConnect si se ha implementado o actualizado en la Web. Para obtener información completa sobre la instalación, consulte Release Notes for Cisco AnyConnect VPN Client, Release 2.2.

Diferencias entre Windows-Vista\Windows 7 y el inicio previo a Vista antes del inicio de sesión

Los procedimientos para habilitar SBL difieren ligeramente en los sistemas Windows Vista y Windows 7. Los sistemas anteriores a Vista utilizan un componente denominado identificación gráfica y autenticación de red privada virtual (VPNGINA) para implementar SBL. Los sistemas Vista y Windows 7 utilizan un componente llamado PLAP para implementar SBL.

En el cliente AnyConnect, la función Windows Vista Start Before Logon se conoce como Proveedor de acceso previo al inicio de sesión (PLAP), que es un proveedor de credenciales conectable. Esta función permite a los administradores de red realizar tareas específicas, como la recopilación de credenciales o la conexión a los recursos de red, antes de iniciar sesión. PLAP proporciona funciones de Inicio antes de iniciar sesión en Windows Vista, Windows 7 y el servidor Windows 2008. PLAP admite versiones de 32 y 64 bits del sistema operativo con vpnplap.dll y vpnplap64.dll, respectivamente. La función PLAP es compatible con las versiones de Windows Vista x86 y x64.

Nota: En esta sección, VPNGINA se refiere a la función Start Before Logon para las plataformas anteriores a Vista, y PLAP se refiere a la función Start Before Logon para los sistemas Windows Vista y Windows 7.

En los sistemas anteriores a Vista, Start Before Logon utiliza un componente conocido como la Biblioteca de vínculos dinámicos de autenticación e identificación gráfica de VPN (vpngina.dll) para proporcionar las capacidades Start Before Logon. El componente Windows PLAP, que forma parte de Windows Vista, reemplaza al componente Windows GINA.

Un GINA se activa cuando un usuario presiona la combinación de teclas Ctrl+Alt+Supr. Con PLAP, la combinación de teclas Ctrl+Alt+Supr abre una ventana en la que el usuario puede iniciar sesión en el sistema o activar cualquier conexión de red (componentes PLAP) con el botón Conexión de red en la esquina inferior derecha de la ventana.

Las secciones que siguen inmediatamente describen la configuración y los procedimientos para VPNGINA y PLAP SBL. Para obtener una descripción completa de la habilitación y el uso de la función SBL (PLAP) en una plataforma Windows Vista, consulte Configuración de Start Before Logon (PLAP) en sistemas Windows Vista.

Configuración XML para habilitar SBL

El valor del elemento de UseStartBeforeLogon permite que esta característica se active (true) o desactive (false). Si establece este valor en true en el perfil, se produce un procesamiento adicional como parte de la secuencia de inicio de sesión. Consulte la descripción de Start Before Logon para obtener más detalles. Establezca el valor <UseStartBefore Logon> en el archivo CiscoAnyConnect.xml en true para habilitar SBL:

<?xml version="1.0" encoding="UTF-8" ?> 
<Configuration> 
<ClientInitialization> 
<UseStartBeforeLogon>true</UseStartBeforeLogon> 
</ClientInitialization>

Para inhabilitar SBL, establezca el mismo valor en false.

Para habilitar la función UserControllable, utilice esta instrucción cuando habilite SBL:

<UseStartBeforeLogon userControllable="false">true</UseStartBeforeLogon>

Cualquier configuración de usuario asociada a este atributo se almacena en otro lugar.

Habilitar SBL

Para minimizar el tiempo de descarga, el cliente AnyConnect solicita descargas (desde el dispositivo de seguridad) solo de los módulos principales que necesita para cada función que admite. Para habilitar nuevas funciones, como SBL, debe especificar el nombre del módulo con el comando svc modules desde el modo de configuración de la política de grupo WebVPN o del nombre de usuario WebVPN:

[no] svc modules {none | value string}

El valor de cadena para SBL es vpngina.

En este ejemplo, el administrador de red ingresa en el modo de atributos de política de grupo para los teletrabajadores de política de grupo; ingresa en el modo de configuración de WebVPN para la política de grupo; y especifica la cadena VPNGINA para habilitar SBL:

hostname(config)# group-policy telecommuters attributes
hostname(config-group-policy)# webvpn
hostame(config-group-webvpn)# svc modules value vpngina

Además, el administrador debe asegurarse de que el archivo <profile.xml> de AnyConnect, donde <profile.xml> es el nombre que el administrador de red ha asignado al archivo XML, tenga la instrucción <UseStartBeforeLogon> establecida en true, por ejemplo:

UseStartBeforeLogon UserControllable="false">true

El sistema debe reiniciarse antes de que el inicio de sesión surta efecto. También debe especificar en el dispositivo de seguridad que desea permitir SBL o cualquier otro módulo para funciones adicionales. Consulte la descripción en la sección Habilitación de Módulos AnyConnect Adicionales de la Guía del Administrador de Cisco AnyConnect Secure Mobility Client para obtener más información.

Inicio antes de la configuración de inicio de sesión con CLI

Este escenario muestra cómo configurar el archivo XML con CLI:

1. Cree un perfil para enviarlo a los equipos cliente que tenga un aspecto similar al siguiente:

   <?xml version="1.0" encoding="UTF-8" ?> 
   <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
   xsi :schemaLocation=
      "http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
   <ClientInitialization> 
   <UseStartBeforeLogon>true</UseStartBeforeLogon> 
   </ClientInitialization> 
   <ServerList>
   <HostEntry>
   <HostName>text.cisco.com</HostName>
   </HostEntry>
   <HostEntry>
   <HostName>test1.cisco.com</HostName>
   <HostAddress>1.1.1.1</HostAddress>
   </HostEntry>
   .
   .
   .
   <HostEntry>
   <HostName>test2.cisco.com</HostName>
   <HostAddress>1.1.1.2</HostAddress>
   </HostEntry>
   </ServerList>
   </AnyConnectProfile>

2. Copie el archivo a la memoria Flash en el dispositivo de seguridad:

   Copy tftp://x.x.x.x/AnyConnectProfile.xml AnyConnectProfile.xml
   

3. En el dispositivo de seguridad, agregue el perfil como un perfil disponible a la sección global de WebVPN, siempre y cuando todo lo demás esté configurado correctamente para las conexiones de AnyConnect:

   hostname(config-group-policy)# webvpn
   hostame(config-group-webvpn)#  
      svc profiles ReallyNewProfile disk0:/AnyConnectProfile.xml
   

4. Edite la política de grupo que utiliza y agregue los comandos svc modules y svc profile:

   hostname(config)# group-policy GroupPolicy internal
   hostname(config)# group-policy GroupPolicy attributes
   hostname(config-group-policy)# webvpn
   hostame(config-group-webvpn)# svc modules value vpngina
   hostame(config-group-webvpn)# svc profiles value ReallyNewProfile
   

Inicio antes de la configuración de inicio de sesión con ASDM

Complete estos pasos para configurar el SBL con ASDM:

1. Cree un perfil para enviarlo a los equipos cliente que tenga un aspecto similar al siguiente:

   <?xml version="1.0" encoding="UTF-8" ?> 
   <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
   xsi :schemaLocation=
      "http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
   <ClientInitialization> 
   <UseStartBeforeLogon>true</UseStartBeforeLogon> 
   </ClientInitialization> 
   <ServerList>
   <HostEntry>
   <HostName>text.cisco.com</HostName>
   </HostEntry>
   <HostEntry>
   <HostName>test1.cisco.com</HostName>
   <HostAddress>1.1.1.1</HostAddress>
   </HostEntry>
   .
   .
   .
   <HostEntry>
   <HostName>test2.cisco.com</HostName>
   <HostAddress>1.1.1.2</HostAddress>
   </HostEntry>
   </ServerList>
   </AnyConnectProfile>

2. Guarde el perfil como AnyConnectProfile.xml en el equipo local.

3. Inicie el ASDM y vaya a la página de inicio.

4. Vaya a Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Add , y haga clic en Internal Group Policy.

   

5. Introduzca el nombre de la política de grupo, por ejemplo, SBL.

   

6. Vaya a Advanced > SSL VPN Client. Quite la marca de verificación Inherit en Optional Client Module to Download, y elija vpngina en el cuadro desplegable.

   

7. Para transferir el perfil AnyConnectProfile.xml del equipo local a Flash, vaya a Herramientas, y haga clic en Administración de archivos.

   

8. Haga clic en el botón File Transfer.

   

9. Para transferir el perfil desde el equipo local a la memoria Flash ASA, elija el Archivo de Origen, la ruta del archivo XML (equipo local) y la ruta del Archivo de Destino según su requerimiento.

   

10. Después de la transferencia, haga clic en el botón Refresh para verificar si el archivo de perfil está en la memoria Flash.

    

11. Asigne el perfil a la directiva de grupo interna (SBL).

    Siga esta ruta, Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit SBL ( Internal Group Policy ) > Advanced > SSL VPN Client > Client Profile to Download, y haga clic en el botón New.

    En Add SSL VPN Client Profiles, haga clic en el botón Browse para elegir la ubicación del perfil (AnyConnectProfile.xml) almacenado en la memoria Flash ASA. Asigne el Nombre al perfil, por ejemplo, SBL. Haga clic en Aceptar para finalizar.

    

12. Quite la casilla de verificación Heredar y elija SBL en el campo Perfil del cliente para descargar. Click OK.

    

13. Haga clic en Apply para completar.

    

Utilizar el archivo de manifiesto

El paquete de AnyConnect que se carga en el dispositivo de seguridad contiene un archivo denominado VPNManifest.xml. Este ejemplo muestra un contenido de ejemplo de este archivo:

<?xml version="1.0" encoding="UTF-7"?> <vpn rev="1.0"> 
<file version="2.1.0150" id="VPNCore" 
   is_core="yes" type="exe" action="install">
   <uri>binaries/anyconnect-win-2.1.0150-web-deploy-k9.exe</uri>
 </file>
 <file version="2.1.0150" id="gina" 
   is_core="yes" type="exe" action="install" module="vpngina">
   <uri>binaries/anyconnect-gina-win-2.1.0150-web-deploy-k9.exe</uri>
 </file>
</vpn>

El dispositivo de seguridad ha almacenado en él perfiles configurados, como se explica en el paso 1, y también almacena uno o varios paquetes de AnyConnect que contienen el propio cliente AnyConnect, la utilidad de descarga, el archivo de manifiesto y cualquier otro módulo opcional o archivo de soporte.

Cuando un usuario remoto se conecta al dispositivo de seguridad con WebLaunch o un cliente independiente actual, el descargador se descarga primero y se ejecuta. Utiliza el archivo de manifiesto para determinar si hay un cliente actual en el equipo del usuario remoto que debe actualizarse o si se requiere una instalación nueva. El archivo de manifiesto también contiene información sobre si hay algún módulo opcional que deba descargarse e instalarse, en este caso, el VPNGINA. El perfil de cliente también se descarga desde el dispositivo de seguridad. La instalación de VPNGINA se activa mediante el comando svc modules value vpngina configurado en el modo de comando group-policy (webvpn) como se explica en el Paso 4. El cliente AnyConnect y VPNGINA están instalados y el usuario ve el cliente AnyConnect en el siguiente reinicio, antes del inicio de sesión en el dominio de Windows.

Cuando el usuario se conecta, el cliente y el perfil se transmiten al equipo del usuario; el cliente y VPNGINA están instalados; y el usuario ve el cliente AnyConnect en el siguiente reinicio, antes del inicio de sesión.

Se proporciona un perfil de ejemplo en el equipo cliente cuando se instala AnyConnect: C:\Documents and Settings\All Users\Application Data\Cisco\Cisco\AnyConnect VPN Client\Profile\AnyConnectProfile.

Solucionar problemas de SBL

Utilice este procedimiento si encuentra un problema con SBL:

1. Asegúrese de que el perfil está presionado.

2. Eliminar perfiles anteriores; búsquelos en el disco duro para encontrar la ubicación: *.xml.

3. Al ir a Agregar o quitar programas, ¿tiene una instalación de AnyConnect y una instalación de AnyConnect VPNGINA?

4. Desinstale el cliente AnyConnect.

5. Borre el registro de AnyConnect del usuario en el Visor de eventos y vuelva a realizar la prueba.

6. Navegación web hasta el dispositivo de seguridad para reinstalar el cliente.

7. Asegúrese de que también aparece el perfil.

8. Reinicie una vez. En el siguiente reinicio, aparecerá el mensaje Start Before Logon (Iniciar antes de iniciar sesión).

9. Envíe el registro de eventos de AnyConnect a Cisco en formato .evt .

10. Si aparece este error, elimine el perfil de usuario y utilice el perfil predeterminado:

    Description: Unable to parse the profile 
    C:\Documents and Settings\All Users\Application Data\Cisco
    \Cisco AnyConnect VPN Client\Profile\VABaseProfile.xml. 
    Host data not available.
    		

Problema 1

Este mensaje de error aparece al intentar cargar el perfil de AnyConnect: Error al validar el archivo XML con el esquema más reciente. ¿Cómo se resuelve este error?

Solución 1

Este mensaje de error se produce principalmente debido a problemas de sintaxis o configuración en el perfil de AnyConnect. Para resolver este problema, refiérase al capítulo AnyConnect Profile Editor de la Guía del Administrador de Cisco AnyConnect Secure Mobility Client.

Información Relacionada

• Guía del administrador de Cisco AnyConnect VPN Client, versión 2.0
• Creación de scripts de inicio de sesión: Windows TechNet
• Configuración de Start Before Logon (PLAP) en sistemas Windows Vista
• Ejemplo de Configuración de Acceso VPN ASA 8.x con AnyConnect SSL VPN Client
• Cisco AnyConnect VPN Client
• Cisco ASA 5500 Series Adaptive Security Appliances
• Soporte Técnico y Documentación - Cisco Systems