ASA 8.x: Permitir que los Usuarios Seleccionen un Grupo en el Inicio de Sesión WebVPN a través de Group-Alias y Group-URL (Método)

Opciones de descarga

  • PDF     (241.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (266.7 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (351.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:10 de noviembre de 2008
ID del documento:98580

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Los usuarios de VPN SSL (AnyConnect/SVC y clientless) pueden elegir que [Connection Profile in Adaptive Security Device Manager (ASDM) lingo] del grupo de túnel para acceder usando estos métodos distintos:

  • grupo-URL

  • grupo-alias (lista desplegable del grupo de túnel en la página de registro)

  • certificado-correspondencias, si usa los Certificados

Este documento demuestra cómo configurar el dispositivo de seguridad adaptante (ASA) para permitir que los usuarios seleccionen a un grupo vía un menú desplegable cuando inician sesión al servicio del WebVPN. Los grupos que aparecen en el menú son alias o URL de los perfiles de la conexión real (grupos de túnel) configurados en el ASA. Este documento ilustra cómo crear los alias y los URL para los perfiles de la conexión (grupos de túnel) y después configurar el descenso-abajo para aparecer. Esta configuración se realiza mediante ASDM 6.0(2) en un ASA que ejecuta la versión de software 8.0(2).

Nota: La Versión de ASA 7.2.x soporta dos métodos: grupo-URL y lista del grupo-alias.

Nota: La Versión de ASA 8.0.x soporta tres métodos: grupo-URL, grupo-alias, y certificado-correspondencias.

prerrequisitos

Configuración básica del WebVPN

Configure un alias y habilite el descenso-abajo

En esta sección, le presentan con la información para configurar un alias para un perfil de la conexión (grupo de túnel) y después para configurar esos alias para aparecer en el menú desplegable del grupo en la página de registro del WebVPN.

ASDM

Complete estos pasos para configurar un alias para un perfil de la conexión (grupo de túnel) en el ASDM. Relance cuanto sea necesario para cada grupo para quien usted quiera configurar un alias.

  1. Elija la configuración > el acceso > los perfiles de la conexión del clientless SSL VPN.

  2. Seleccione un perfil de la conexión y el tecleo edita.

  3. Ingrese un alias en el campo de los alias.

    enable-group-dropdown-1.gif

  4. El Haga Click en OK y aplica el cambio.

  5. En los perfiles de la conexión ventana, el control permite que el usuario seleccione la conexión, identificada por el alias en la tabla arriba, en la página de registro.

    enable-group-dropdown-2.gif

CLI

Utilice estos comandos en la línea de comando de configurar un alias para un perfil de la conexión (grupo de túnel) y de habilitar el descenso-abajo del grupo de túnel. Relance cuanto sea necesario para cada grupo para quien usted quiera configurar un alias.

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Configure un URL y habilite el descenso-abajo

En esta sección, le presentan con la información para configurar un URL para un perfil de la conexión (grupo de túnel) y después para configurar esos URL para aparecer en el menú desplegable del grupo en la página de registro del WebVPN. Una ventaja de usar el grupo-URL sobre el grupo-alias (descenso-abajo del grupo) es que usted no expone los nombres del grupo como lo hace el último método.

ASDM

Hay dos métodos usados para especificar el Grupo-URL en el ASDM:

  • Método del perfil - completamente - operativo

    Edite el perfil AC y modifique el campo del <HostAddress>.

    En Windows 2000/XP el archivo de perfil predeterminado (por ejemplo, CiscoAnyConnectProfile.xml) está en el directorio: Usuarios \ datos de aplicación \ Cisco \ Cliente Cisco AnyConnect VPN \ perfil de C:\Documents and Settings\All.

    La ubicación para Vista es levemente diferente: Cliente VPN \ perfil de C:\ProgramData\Cisco\Cisco AnyConnect.

  • Ingrese la cadena URL del grupo en la conexión para colocar.

    Tres formatos de las cadenas URL del grupo se soportan:

    • https://asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com (dominio-solamente, ninguna trayectoria)

Complete estos pasos para configurar un URL para un perfil de la conexión (grupo de túnel) en el ASDM. Relance cuanto sea necesario para cada grupo para quien usted quiera configurar un URL.

  1. Elija el panel de Profiles>Advanced>Clientless SSL VPN de la configuración > del acceso > de la conexión del clientless SSL VPN.

  2. Seleccione un perfil de la conexión y el tecleo edita.

  3. Ingrese un URL en el campo URL del grupo.

    enable-group-dropdown-4.gif

  4. El Haga Click en OK y aplica el cambio.

CLI

Utilice estos comandos en la línea de comando de configurar un URL para un perfil de la conexión (grupo de túnel) y de habilitar el descenso-abajo del grupo de túnel. Relance cuanto sea necesario para cada grupo para quien usted quiera configurar un URL.

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Q y A

Pregunta:

¿Cómo usted configura el grupo-URL si el gateway de VPN ASA está detrás de un dispositivo NAT?

Respuesta:

El host/URL que el usuario ingresa será utilizado para asociar del grupo. Por lo tanto, usted tiene que utilizar el direccionamiento del NAT'd, no la dirección real en la interfaz exterior ASA. La mejor alternativa es utilizar el FQDN en vez de la dirección IP para la asignación grupo-URL.

Todo asociando se implementa en el nivel del protocolo HTTP (basado en la información que el hojeador envía) y un URL se compone para asociar de la información en las encabezados entrantes HTTP. El nombre del host o el IP se toma de la encabezado del host y del resto del URL de la línea del pedido de HTTP. Esto significa que el host/URL que el usuario ingresa será utilizado para asociar del grupo.

Verificación

Navegue a la página de registro del WebVPN del ASA para verificar que el descenso-abajo está habilitado y que aparecen los alias.

enable-group-dropdown-3.gif

Navegue a la página de registro del WebVPN del ASA para verificar que el descenso-abajo está habilitado y que aparece el URL.

enable-group-dropdown-5.gif

Troubleshooting

  • Si no aparece la lista desplegable, esté seguro que usted la ha habilitado y que los alias están configurados. Los usuarios hacen a menudo una de estas cosas, pero no la otra.

  • Esté seguro que usted está conectando con la base URL del ASA. La lista desplegable no aparece si usted conecta con el ASA usando un grupo-URL, pues el propósito del grupo-URL es realizar Group Selection (Selección de grupos).

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
10-Nov-2008
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos