ASA 8.X: Configuratie AnyConnect-functie starten vóór aanmelding

Inleiding

Als Start vóór aanmelding (SBL) is ingeschakeld, ziet de gebruiker het dialoogvenster AnyConnect GUI-aanmelding voordat het dialoogvenster Windows^®-aanmelding wordt weergegeven. Hiermee wordt eerst de VPN-verbinding tot stand gebracht. Alleen beschikbaar voor Windows-platforms, Start Before Logon laat de beheerder het gebruik van aanmeldingsscripts, wachtwoordcaching, het toewijzen van netwerkstations aan lokale stations en meer beheren. U kunt de SBL-functie gebruiken om de VPN te activeren als onderdeel van de aanmeldingsvolgorde. SBL is standaard uitgeschakeld.

Raadpleeg voor meer informatie over het configureren van de AnyConnect VPN-clientfuncties het gedeelte AnyConnect VPN configureren in het hoofdstuk Beheerdershandleiding voor de Cisco AnyConnect Secure Mobility-client.

Opmerking: In de AnyConnect-client kunt u de functie alleen inschakelen voor SBL. Netwerkbeheerders behandelen de verwerking die plaatsvindt vóór de aanmelding op basis van de vereisten van hun situatie. Aanmeldingsscripts kunnen worden toegewezen aan een domein of aan individuele gebruikers. Over het algemeen hebben de beheerders van het domein batchbestanden of dergelijke gedefinieerd met gebruikers of groepen in Active Directory. Zodra de gebruiker zich aanmeldt, wordt het aanmeldingsscript uitgevoerd.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco ASA Adaptive Security Appliances uit de 5500-reeks met softwareversie 8.x

• Cisco AnyConnect VPN versie 2.0

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Het punt van SBL is dat het een externe computer verbindt met de bedrijfsinfrastructuur voordat u zich aanmeldt bij de pc. Een gebruiker kan zich bijvoorbeeld buiten het fysieke bedrijfsnetwerk bevinden en geen toegang hebben tot bedrijfsmiddelen totdat zijn of haar pc zich bij het bedrijfsnetwerk heeft aangesloten. Als SBL is ingeschakeld, maakt de AnyConnect-client verbinding voordat de gebruiker het aanmeldingsvenster van Microsoft ziet. De gebruiker moet zich zoals gewoonlijk ook aanmelden bij Windows wanneer het aanmeldingsvenster van Microsoft wordt weergegeven.

Dit zijn verschillende redenen om SBL te gebruiken:

• De pc van de gebruiker is gekoppeld aan een Active Directory-infrastructuur.

• De gebruiker kan geen referenties in de cache hebben op de pc, dat wil zeggen als het groepsbeleid referenties in de cache niet toestaat.

• De gebruiker moet aanmeldingsscripts uitvoeren die worden uitgevoerd vanuit een netwerkbron of waarvoor toegang tot een netwerkbron is vereist.

• Een gebruiker beschikt over stations met netwerktoewijzing waarvoor verificatie met de Active Directory-infrastructuur is vereist.

• Voor netwerkcomponenten, zoals MS NAP/CS NAC, kan een verbinding met de infrastructuur nodig zijn.

SBL maakt een netwerk dat gelijk staat aan opname in het lokale bedrijfsnetwerk. Met SBL ingeschakeld, omdat de gebruiker toegang heeft tot de lokale infrastructuur, zijn de aanmeldingsscripts die normaal voor een gebruiker op kantoor worden uitgevoerd, ook beschikbaar voor de externe gebruiker.

Voor informatie over het maken van aanmeldingsscripts raadpleegt u dit Microsoft TechNet-artikel.

Raadpleeg dit Microsoft-artikelvoor informatie over het gebruik van lokale aanmeldingsscripts in Windows XP.

In een ander voorbeeld kan een systeem worden geconfigureerd om referenties in de cache voor aanmelding bij de pc uit te sluiten. In dit scenario moeten gebruikers kunnen communiceren met een domeincontroller op het bedrijfsnetwerk om hun inloggegevens te laten valideren voordat ze toegang krijgen tot de pc. SBL vereist dat een netwerkverbinding aanwezig is op het moment dat deze wordt aangeroepen. In sommige gevallen is dit niet mogelijk omdat een draadloze verbinding afhankelijk kan zijn van gebruikersreferenties om verbinding te maken met de draadloze infrastructuur. Aangezien de SBL-modus voorafgaat aan de aanmeldingsfase van een aanmelding, is er in dit scenario geen verbinding beschikbaar. In dat geval moet de draadloze verbinding worden geconfigureerd om de referenties in de cache op te slaan bij de aanmelding, of moet een andere draadloze verificatie worden geconfigureerd om SBL te laten werken.

Start installeren voordat u zich aanmeldt Onderdelen (alleen Windows)

De onderdelen Start Before Logon moeten worden geïnstalleerd nadat de kernclient is geïnstalleerd. Bovendien moet voor de AnyConnect 2.2-componenten Start Before Logon versie 2.2 of hoger van de kern van de AnyConnect-clientsoftware worden geïnstalleerd. Als u de AnyConnect-client en de onderdelen Start voor aanmelding vooraf implementeert met de MSI-bestanden (u bevindt zich bijvoorbeeld bij een groot bedrijf dat zijn eigen software-implementatie heeft (Altiris, Active Directory of SMS), moet u de juiste bestelling plaatsen. De volgorde van de installatie wordt automatisch afgehandeld wanneer de beheerder AnyConnect laadt als deze via het web is geïmplementeerd en/of via het web is bijgewerkt. Raadpleeg Release Notes voor Cisco AnyConnect VPN Client, versie 2.2, voor volledige installatiegegevens.

Verschillen tussen Windows-Vista\Windows 7 en Pre-Vista starten vóór aanmelding

De procedures voor het inschakelen van SBL verschillen enigszins op Windows Vista- en Windows 7-systemen. Pre-Vista-systemen maken gebruik van een component genaamd Virtual Private Network Graphical Identification and Authentication (VPNGINA) om SBL te implementeren. Vista- en Windows 7-systemen gebruiken een component met de naam PLAP om SBL te implementeren.

In de AnyConnect-client staat de Windows Vista-functie Start vóór aanmelding bekend als de Pre-Login Access Provider (PLAP), een aanmeldprovider die kan worden aangesloten. Met deze functie kunnen netwerkbeheerders specifieke taken uitvoeren, zoals het verzamelen van referenties of verbinding maken met netwerkbronnen, voordat ze zich aanmelden. PLAP biedt de functies Start voor aanmelding op Windows Vista, Windows 7 en de Windows 2008-server. PLAP ondersteunt 32-bits en 64-bits versies van het besturingssysteem met respectievelijk vpnplap.dll en vpnplap64.dll. De PLAP-functie ondersteunt Windows Vista x86- en x64-versies.

Opmerking: In dit gedeelte verwijst VPNGINA naar de functie Start voor aanmelding voor pre-Vista-platforms en verwijst PLAP naar de functie Start voor aanmelding voor Windows Vista- en Windows 7-systemen.

In pre-Vista-systemen maakt Start Before Logon gebruik van een component die bekend staat als de VPN Graphical Identification and Authentication Dynamic Link Library (vpngina.dll) om mogelijkheden voor Start Before Logon te bieden. De Windows PLAP-component, die deel uitmaakt van Windows Vista, vervangt de Windows GINA-component.

Een GINA wordt geactiveerd wanneer een gebruiker op de toetsencombinatie Ctrl+Alt+Del drukt. Met PLAP opent de toetscombinatie Ctrl+Alt+Del een venster waarin de gebruiker kan kiezen om zich aan te melden bij het systeem of om netwerkverbindingen (PLAP-componenten) te activeren met de knop Netwerkverbinding in de rechterbenedenhoek van het venster.

De secties die onmiddellijk volgen beschrijven de instellingen en procedures voor zowel VPNGINA als PLAP SBL. Raadpleeg Start vóór aanmelding configureren op Windows Vista-systemen voor een volledige beschrijving van de mogelijkheden en het gebruik van de SBL-functie (PLAP) op een Windows Vista-platform.

XML-instellingen om SBL in te schakelen

Met de elementwaarde voor UseStartBeforeLogon kan deze functie worden in- of uitgeschakeld (true). Als u deze waarde instelt op true in het profiel, vindt aanvullende verwerking plaats als onderdeel van de aanmeldingsreeks. Zie de beschrijving Start voor aanmelding voor meer informatie. Stel de waarde <UseStartBefore Logon> in het bestand CiscoAnyConnect.xml in op true om SBL in te schakelen:

<?xml version="1.0" encoding="UTF-8" ?> 
<Configuration> 
<ClientInitialization> 
<UseStartBeforeLogon>true</UseStartBeforeLogon> 
</ClientInitialization>

Stel dezelfde waarde in op false om SBL uit te schakelen.

Gebruik deze instructie om de functie UserController in te schakelen wanneer u SBL inschakelt:

<UseStartBeforeLogon userControllable="false">true</UseStartBeforeLogon>

Elke gebruikersinstelling die aan dit attribuut is gekoppeld, wordt elders opgeslagen.

SBL inschakelen

Om de downloadtijd tot een minimum te beperken, vraagt de AnyConnect-client alleen downloads (van het beveiligingstoestel) van kernmodules die hij nodig heeft voor elke functie die hij ondersteunt. Om nieuwe functies in te schakelen, zoals SBL, moet u de naam van de module opgeven met de opdracht svc-modules uit de groepenbeleidsmodus WebVPN of de configuratiemodus WebVPN-gebruikersnaam:

[no] svc modules {none | value string}

De tekenreekswaarde voor SBL is vpngina.

In dit voorbeeld voert de netwerkbeheerder de attributenmodus voor het groepsbeleid in voor de telecommuters; voert de WebVPN-configuratiemodus in voor het groepsbeleid; en geeft de tekenreeks VPNGINA op om SBL in te schakelen:

hostname(config)# group-policy telecommuters attributes
hostname(config-group-policy)# webvpn
hostame(config-group-webvpn)# svc modules value vpngina

Bovendien moet de beheerder ervoor zorgen dat het bestand <profile.xml> van AnyConnect, waarbij <profile.xml> de naam is die de netwerkbeheerder aan het XML-bestand heeft toegewezen, de instructie <UseStartBeforeLogon> heeft ingesteld op true, bijvoorbeeld:

UseStartBeforeLogon UserControllable="false">true

Het systeem moet opnieuw worden opgestart voordat de aanmelding wordt gestart. U moet ook op het beveiligingstoestel opgeven dat u SBL wilt toestaan, of andere modules voor extra functies. Raadpleeg de beschrijving in het gedeelte Aanvullende AnyConnect-modules inschakelen van de Beheerdershandleiding voor Cisco AnyConnect Secure Mobility-clients voor meer informatie.

Start vóór aanmelding Configuratie met CLI

In dit scenario ziet u hoe u het XML-bestand instelt met CLI:

1. Maak een profiel aan dat naar beneden wordt geduwd naar de client-pc's en dat er als volgt uitziet:

   <?xml version="1.0" encoding="UTF-8" ?> 
   <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
   xsi :schemaLocation=
      "http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
   <ClientInitialization> 
   <UseStartBeforeLogon>true</UseStartBeforeLogon> 
   </ClientInitialization> 
   <ServerList>
   <HostEntry>
   <HostName>text.cisco.com</HostName>
   </HostEntry>
   <HostEntry>
   <HostName>test1.cisco.com</HostName>
   <HostAddress>1.1.1.1</HostAddress>
   </HostEntry>
   .
   .
   .
   <HostEntry>
   <HostName>test2.cisco.com</HostName>
   <HostAddress>1.1.1.2</HostAddress>
   </HostEntry>
   </ServerList>
   </AnyConnectProfile>

2. Kopieer het bestand naar Flash op het beveiligingstoestel:

   Copy tftp://x.x.x.x/AnyConnectProfile.xml AnyConnectProfile.xml
   

3. Voeg op het beveiligingstoestel het profiel toe als een beschikbaar profiel aan de algemene sectie WebVPN, zolang al het andere correct is ingesteld voor AnyConnect-verbindingen:

   hostname(config-group-policy)# webvpn
   hostame(config-group-webvpn)#  
      svc profiles ReallyNewProfile disk0:/AnyConnectProfile.xml
   

4. Bewerk het groepsbeleid dat u gebruikt en voeg de opdrachten svc-modules en svc-profiel toe:

   hostname(config)# group-policy GroupPolicy internal
   hostname(config)# group-policy GroupPolicy attributes
   hostname(config-group-policy)# webvpn
   hostame(config-group-webvpn)# svc modules value vpngina
   hostame(config-group-webvpn)# svc profiles value ReallyNewProfile
   

Start vóór aanmelding Configuratie met ASDM

Voer deze stappen uit om de SBL met ASDM te configureren:

1. Maak een profiel aan dat naar beneden wordt geduwd naar de client-pc's en dat er als volgt uitziet:

   <?xml version="1.0" encoding="UTF-8" ?> 
   <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
   xsi :schemaLocation=
      "http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
   <ClientInitialization> 
   <UseStartBeforeLogon>true</UseStartBeforeLogon> 
   </ClientInitialization> 
   <ServerList>
   <HostEntry>
   <HostName>text.cisco.com</HostName>
   </HostEntry>
   <HostEntry>
   <HostName>test1.cisco.com</HostName>
   <HostAddress>1.1.1.1</HostAddress>
   </HostEntry>
   .
   .
   .
   <HostEntry>
   <HostName>test2.cisco.com</HostName>
   <HostAddress>1.1.1.2</HostAddress>
   </HostEntry>
   </ServerList>
   </AnyConnectProfile>

2. Sla het profiel op als AnyConnectProfile.xml op de lokale computer.

3. Start de ASDM en ga naar de startpagina.

4. Ga naar Configuratie > Externe toegang VPN > Netwerktoegang (client) > Groepsbeleid > Toevoegen en klik op Intern groepsbeleid.

   

5. Voer de naam van het groepsbeleid in, bijvoorbeeld SBL.

   

6. Ga naar Geavanceerd > SSL VPN-client. Verwijder het vinkje Overerving in de Optionele clientmodule om te downloaden, en kies vpngina uit de vervolgkeuzelijst.

   

7. Als u het profiel AnyConnectProfile.xml van de lokale computer naar Flash wilt overbrengen, gaat u naar Extra en klikt u op Bestandsbeheer.

   

8. Klik op de knop Bestandsoverdracht.

   

9. Als u het profiel van de lokale computer naar ASA Flash-geheugen wilt overbrengen, kiest u het bronbestand, het pad van het XML-bestand (lokale computer) en het pad Bestemmingsbestand volgens uw vereiste.

   

10. Klik na de overdracht op de knop Vernieuwen om te controleren of het profielbestand zich in het Flash-geheugen bevindt.

    

11. Wijs het profiel toe aan het interne groepsbeleid (SBL).

    Volg dit pad, Configuratie > Externe toegang VPN > Netwerktoegang (client) > Groepsbeleid > SBL bewerken ( Intern groepsbeleid ) > Geavanceerd > SSL VPN-client > Clientprofiel downloaden, en klik op de knop Nieuw.

    Klik in SSL VPN-clientprofielen toevoegen op de knop Bladeren om de locatie te kiezen van het profiel (AnyConnectProfile.xml) dat is opgeslagen in het ASA Flash-geheugen. Wijs de naam toe voor het profiel, bijvoorbeeld SBL. Klik op OK om te voltooien.

    

12. Verwijder het selectievakje Overnemen en kies SBL in het veld Clientprofiel downloaden. Klik op OK.

    

13. Klik op Toepassen om te voltooien.

    

Het Manifest-bestand gebruiken

Het AnyConnect-pakket dat op het beveiligingstoestel wordt geüpload, bevat een bestand met de naam VPNManifest.xml. Dit voorbeeld toont een voorbeeldinhoud van dit bestand:

<?xml version="1.0" encoding="UTF-7"?> <vpn rev="1.0"> 
<file version="2.1.0150" id="VPNCore" 
   is_core="yes" type="exe" action="install">
   <uri>binaries/anyconnect-win-2.1.0150-web-deploy-k9.exe</uri>
 </file>
 <file version="2.1.0150" id="gina" 
   is_core="yes" type="exe" action="install" module="vpngina">
   <uri>binaries/anyconnect-gina-win-2.1.0150-web-deploy-k9.exe</uri>
 </file>
</vpn>

Het beveiligingstoestel heeft geconfigureerde profielen opgeslagen, zoals uitgelegd in stap 1, en slaat ook een of meerdere AnyConnect-pakketten op die de AnyConnect-client zelf, het downloadprogramma, het manifest-bestand en andere optionele modules of ondersteuningsbestanden bevatten.

Wanneer een externe gebruiker verbinding maakt met het beveiligingstoestel met WebLaunch of een huidige zelfstandige client, wordt de downloader eerst gedownload en uitgevoerd. Het maakt gebruik van het manifest bestand om na te gaan of er een huidige client op de externe gebruiker-pc die moet worden bijgewerkt, of een nieuwe installatie is vereist. Het manifest bevat ook informatie over de vraag of er optionele modules zijn die moeten worden gedownload en geïnstalleerd, in dit geval de VPNGINA. Het clientprofiel wordt ook omlaag geduwd vanaf het beveiligingstoestel. De installatie van VPNGINA wordt geactiveerd door de opdracht svc modules waarde vpngina geconfigureerd onder de groep-beleid (webvpn) opdrachtmodus zoals uitgelegd in Stap 4. De AnyConnect-client en VPNGINA zijn geïnstalleerd en de gebruiker ziet de AnyConnect-client bij de volgende herstart, voordat de Windows-domeinaanmelding wordt gestart.

Wanneer de gebruiker verbinding maakt, worden de client en het profiel doorgegeven aan de pc van de gebruiker; de client en VPNGINA worden geïnstalleerd; en de gebruiker ziet de AnyConnect-client bij de volgende herstart, voorafgaand aan de aanmelding.

Wanneer AnyConnect is geïnstalleerd, wordt een voorbeeldprofiel op de client-pc geleverd: C:\Documents and Settings\All Users\Application Data\Cisco\Cisco\AnyConnect VPN Client\Profile\AnyConnectProfile.

Problemen met SBL oplossen

Gebruik deze procedure als u een probleem met SBL tegenkomt:

1. Zorg ervoor dat het profiel is gepusht.

2. Verwijder eerdere profielen; zoek ze op de harde schijf om de locatie te vinden: *.xml.

3. Als u naar de programma's Toevoegen/Verwijderen gaat, hebt u dan zowel een AnyConnect-installatie als een AnyConnect VPNGINA-installatie?

4. De AnyConnect-client verwijderen.

5. Wis het AnyConnect-log van de gebruiker in de Event Viewer en test opnieuw.

6. Ga terug naar het beveiligingstoestel om de client opnieuw te installeren.

7. Zorg ervoor dat het profiel ook wordt weergegeven.

8. Start eenmaal opnieuw op. Bij de volgende herstart wordt u gevraagd om te starten voordat u zich aanmeldt.

9. Verzend het AnyConnect-gebeurtenissenlogboek naar Cisco in .evt-indeling.

10. Als u deze fout ziet, verwijdert u het gebruikersprofiel en gebruikt u het standaardprofiel:

    Description: Unable to parse the profile 
    C:\Documents and Settings\All Users\Application Data\Cisco
    \Cisco AnyConnect VPN Client\Profile\VABaseProfile.xml. 
    Host data not available.
    		

Probleem 1

Dit foutbericht wordt weergegeven wanneer u probeert het AnyConnect-profiel te uploaden: Fout bij het valideren van het XML-bestand volgens het laatste schema. Hoe wordt deze fout opgelost?

Oplossing 1

Dit foutbericht treedt meestal op vanwege syntaxis- of configuratieproblemen in het AnyConnect-profiel. Als u dit probleem wilt oplossen, raadpleegt u het hoofdstuk Profieleditor AnyConnect in de Beheerdershandleiding voor de Cisco AnyConnect Secure Mobility-client.

Gerelateerde informatie

• Beheerdershandleiding voor Cisco AnyConnect VPN-clients, versie 2.0
• Aanmeldingsscripts maken - Windows TechNet
• Start configureren vóór aanmelding (PLAP) op Windows Vista-systemen
• ASA 8.x VPN Access met het voorbeeld AnyConnect SSL VPN Client Configuration
• Cisco AnyConnect VPN-client
• Adaptieve security applicaties van Cisco ASA 5500 Series
• Technische ondersteuning en documentatie – Cisco Systems