ASA 8.X: Configuração do recurso Iniciar antes do logon do AnyConnect

Introdução

Com a opção Iniciar antes do logon (SBL) ativada, o usuário vê a caixa de diálogo de logon da GUI do AnyConnect antes que a caixa de diálogo de logon do Windows^® seja exibida. Isso estabelece a conexão de VPN antes. Disponível somente para plataformas Windows, Start Before Logon permite que o administrador controle o uso de scripts de login, cache de senha, mapeamento de unidades de rede para unidades locais, entre outros. É possível usar o recurso SBL para ativar a VPN como parte da sequência de login. O SBL é desabilitado por padrão.

Para obter mais informações sobre como configurar os recursos do AnyConnect VPN Client, consulte a seção Configurar AnyConnect VPN do Guia do Administrador do Cisco AnyConnect Secure Mobility Client.

Observação: no cliente AnyConnect, a única configuração que você faz para SBL é ativar o recurso. Os administradores de rede lidam com o processamento que ocorre antes do logon com base nos requisitos de sua situação. Os scripts de login podem ser atribuídos a um domínio ou a usuários individuais. Geralmente, os administradores do domínio têm arquivos de lote ou similares definidos com usuários ou grupos no Ative Diretory. Assim que o usuário faz logon, o script de logon é executado.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco ASA 5500 Series Adaptive Security Appliances com software versão 8.x

• Cisco AnyConnect VPN versão 2.0

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O ponto do SBL é que ele conecta um computador remoto à infraestrutura da empresa antes de fazer logon no PC. Por exemplo, um usuário pode estar fora da rede corporativa física, incapaz de acessar recursos corporativos até que seu PC tenha se juntado à rede corporativa. Com o SBL habilitado, o cliente AnyConnect se conecta antes que o usuário veja a janela de login da Microsoft. O usuário também deve efetuar login, como de costume, no Windows quando a janela de login da Microsoft for exibida.

Estes são vários motivos para usar o SBL:

• O PC do usuário está associado a uma infraestrutura do Ative Diretory.

• O usuário não pode ter credenciais em cache no PC, ou seja, se a política de grupo não permitir credenciais em cache.

• O usuário deve executar scripts de login que sejam executados a partir de um recurso de rede ou que exijam acesso a um recurso de rede.

• Um usuário tem unidades mapeadas na rede que exigem autenticação com a infraestrutura do Ative Diretory.

• Os componentes de rede, como o MS NAP/CS NAC, podem exigir conexão com a infraestrutura.

O SBL cria uma rede que é equivalente à inclusão na LAN corporativa local. Com o SBL habilitado, como o usuário tem acesso à infraestrutura local, os scripts de logon que normalmente são executados para um usuário no escritório também estão disponíveis para o usuário remoto.

Para obter informações sobre como criar scripts de login, consulte este artigo do Microsoft TechNet.

Para obter informações sobre como usar scripts de login local no Windows XP, consulte este artigo da Microsoft.

Em outro exemplo, um sistema pode ser configurado para não permitir credenciais em cache para logon no PC. Neste cenário, os usuários devem ser capazes de se comunicar com um controlador de domínio na rede corporativa para que suas credenciais sejam validadas antes do acesso ao PC. O SBL requer que uma conexão de rede esteja presente no momento em que é chamado. Em alguns casos, isso não é possível porque uma conexão sem fio pode depender das credenciais do usuário para se conectar à infraestrutura sem fio. Como o modo SBL precede a fase de credencial de um logon, uma conexão não está disponível neste cenário. Nesse caso, a conexão sem fio precisa ser configurada para armazenar em cache as credenciais no login ou outra autenticação sem fio precisa ser configurada para que o SBL funcione.

Instalar Componentes Iniciar Antes Do Logon (Somente Windows)

Os componentes Iniciar Antes do Logon devem ser instalados depois que o cliente principal tiver sido instalado. Além disso, os componentes Iniciar antes do logon do AnyConnect 2.2 exigem que a versão 2.2 ou posterior do software cliente AnyConnect principal esteja instalada. Se você pré-implantar o cliente AnyConnect e os componentes Start Before Logon com os arquivos MSI (por exemplo, você está em uma grande empresa que tem sua própria implantação de software (Altiris, Ative Diretory ou SMS), você deve obter o pedido certo. A ordem da instalação é tratada automaticamente quando o administrador carrega o AnyConnect se ele for implantado na Web e/ou atualizado na Web. Para obter informações completas sobre a instalação, consulte as Notas de versão do Cisco AnyConnect VPN Client, Versão 2.2.

Diferenças entre Windows-Vista\Windows 7 e Pré-Vista Iniciar Antes do Logon

Os procedimentos para ativar o SBL são ligeiramente diferentes nos sistemas Windows Vista e Windows 7. Os sistemas anteriores ao Vista usam um componente chamado identificação e autenticação gráfica de rede privada virtual (VPNGINA) para implementar o SBL. Os sistemas Vista e Windows 7 usam um componente chamado PLAP para implementar SBL.

No cliente AnyConnect, o recurso Iniciar Antes do Logon do Windows Vista é conhecido como o Provedor de Acesso Pré-Login (PLAP), que é um provedor de credenciais conectável. Esse recurso permite que os administradores de rede executem tarefas específicas, como a coleta de credenciais ou a conexão a recursos de rede, antes do login. O PLAP fornece funções Iniciar Antes do Logon no Windows Vista, Windows 7 e no servidor Windows 2008. O PLAP suporta versões de 32 e 64 bits do sistema operacional com vpnplap.dll e vpnplap64.dll, respectivamente. A função PLAP suporta as versões x86 e x64 do Windows Vista.

Observação: nesta seção, VPNGINA refere-se ao recurso Iniciar Antes do Logon para plataformas anteriores ao Vista, e PLAP refere-se ao recurso Iniciar Antes do Logon para sistemas Windows Vista e Windows 7.

Em sistemas anteriores ao Vista, Start Before Logon usa um componente conhecido como VPN Graphical Identification and Authentication Dynamic Link Library (vpngina.dll) para fornecer recursos Start Before Logon. O componente PLAP do Windows, que faz parte do Windows Vista, substitui o componente GINA do Windows.

Um GINA é ativado quando um usuário pressiona a combinação de teclas Ctrl+Alt+Del. Com o PLAP, a combinação de teclas Ctrl+Alt+Del abre uma janela onde o usuário pode escolher entre fazer login no sistema ou ativar qualquer conexão de rede (componentes do PLAP) com o botão Network Connect (Conexão de rede) no canto inferior direito da janela.

As seções a seguir descrevem imediatamente as configurações e procedimentos para VPNGINA e PLAP SBL. Para obter uma descrição completa da habilitação e do uso do recurso SBL (PLAP) em uma plataforma Windows Vista, consulte Configuração do Início Antes do Logon (PLAP) em Sistemas Windows Vista.

Configurações XML para Habilitar SBL

O valor do elemento UseStartBeforeLogon permite que esse recurso seja ativado (verdadeiro) ou desativado (falso). Se você definir esse valor como verdadeiro no perfil, o processamento adicional ocorrerá como parte da sequência de logon. Consulte a descrição de Iniciar Antes do Logon para obter detalhes adicionais. Defina o valor <UseStartBefore Logon> no arquivo CiscoAnyConnect.xml como true para habilitar o SBL:

<?xml version="1.0" encoding="UTF-8" ?> 
<Configuration> 
<ClientInitialization> 
<UseStartBeforeLogon>true</UseStartBeforeLogon> 
</ClientInitialization>

Para desabilitar o SBL, defina o mesmo valor como false.

Para habilitar o recurso UserControllable, use esta instrução ao habilitar o SBL:

<UseStartBeforeLogon userControllable="false">true</UseStartBeforeLogon>

Qualquer configuração de usuário associada a este atributo é armazenada em outro local.

Ativar SBL

Para minimizar o tempo de download, o cliente AnyConnect solicita downloads (do Security Appliance) apenas dos módulos principais necessários para cada recurso que suporta. Para habilitar novos recursos, como SBL, você deve especificar o nome do módulo com o comando svc modules do modo de configuração WebVPN da política de grupo ou WebVPN do nome de usuário:

[no] svc modules {none | value string}

O valor da string para SBL é vpngina.

Neste exemplo, o administrador de rede entra no modo de atributos da política de grupo para os trabalhadores à distância da política de grupo; entra no modo de configuração WebVPN para a política de grupo; e especifica a string VPNGINA para ativar o SBL:

hostname(config)# group-policy telecommuters attributes
hostname(config-group-policy)# webvpn
hostame(config-group-webvpn)# svc modules value vpngina

Além disso, o administrador deve garantir que o arquivo <profile.xml> do AnyConnect, em que <profile.xml> é o nome que o administrador de rede atribuiu ao arquivo XML, tenha a instrução <UseStartBeforeLogon> definida como true, por exemplo:

UseStartBeforeLogon UserControllable="false">true

O sistema deve ser reinicializado antes que Iniciar sessão entre em vigor. Você também deve especificar no Security Appliance que deseja permitir SBL ou qualquer outro módulo para recursos adicionais. Consulte a descrição na seção Habilitar módulos adicionais do AnyConnect do Guia do Administrador do Cisco AnyConnect Secure Mobility Client para obter mais informações.

Iniciar Antes da Configuração de Logon com CLI

Este cenário mostra como configurar o arquivo XML com CLI:

1. Crie um perfil para ser enviado aos PCs clientes que seja semelhante a este:

   <?xml version="1.0" encoding="UTF-8" ?> 
   <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
   xsi :schemaLocation=
      "http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
   <ClientInitialization> 
   <UseStartBeforeLogon>true</UseStartBeforeLogon> 
   </ClientInitialization> 
   <ServerList>
   <HostEntry>
   <HostName>text.cisco.com</HostName>
   </HostEntry>
   <HostEntry>
   <HostName>test1.cisco.com</HostName>
   <HostAddress>1.1.1.1</HostAddress>
   </HostEntry>
   .
   .
   .
   <HostEntry>
   <HostName>test2.cisco.com</HostName>
   <HostAddress>1.1.1.2</HostAddress>
   </HostEntry>
   </ServerList>
   </AnyConnectProfile>

2. Copie o arquivo para a Flash do Security Appliance:

   Copy tftp://x.x.x.x/AnyConnectProfile.xml AnyConnectProfile.xml
   

3. No Security Appliance, adicione o perfil como um perfil disponível à seção global WebVPN, desde que todo o resto esteja configurado corretamente para conexões do AnyConnect:

   hostname(config-group-policy)# webvpn
   hostame(config-group-webvpn)#  
      svc profiles ReallyNewProfile disk0:/AnyConnectProfile.xml
   

4. Edite a política de grupo que você usa e adicione os comandos svc modules e svc profile:

   hostname(config)# group-policy GroupPolicy internal
   hostname(config)# group-policy GroupPolicy attributes
   hostname(config-group-policy)# webvpn
   hostame(config-group-webvpn)# svc modules value vpngina
   hostame(config-group-webvpn)# svc profiles value ReallyNewProfile
   

Iniciar Antes da Configuração de Logon com ASDM

Conclua estas etapas para configurar o SBL com o ASDM:

1. Crie um perfil para ser enviado aos PCs clientes que seja semelhante a este:

   <?xml version="1.0" encoding="UTF-8" ?> 
   <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
   xsi :schemaLocation=
      "http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
   <ClientInitialization> 
   <UseStartBeforeLogon>true</UseStartBeforeLogon> 
   </ClientInitialization> 
   <ServerList>
   <HostEntry>
   <HostName>text.cisco.com</HostName>
   </HostEntry>
   <HostEntry>
   <HostName>test1.cisco.com</HostName>
   <HostAddress>1.1.1.1</HostAddress>
   </HostEntry>
   .
   .
   .
   <HostEntry>
   <HostName>test2.cisco.com</HostName>
   <HostAddress>1.1.1.2</HostAddress>
   </HostEntry>
   </ServerList>
   </AnyConnectProfile>

2. Salve o perfil como AnyConnectProfile.xml no computador local.

3. Inicie o ASDM e vá para a página inicial.

4. Vá para Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Add e clique em Internal Group Policy.

   

5. Insira o nome da política de grupo, por exemplo, SBL.

   

6. Vá para Advanced > SSL VPN Client. Remova a marca de seleção Inherit no Optional Client Module to Download e escolha vpngina na caixa suspensa.

   

7. Para transferir o perfil AnyConnectProfile.xml do computador local para o Flash, vá para Ferramentas e clique em Gerenciamento de arquivos.

   

8. Clique no botão Transferência de arquivo.

   

9. Para transferir o perfil do computador local para a memória Flash ASA, escolha o Arquivo de Origem, o caminho do arquivo XML (computador local) e o caminho do Arquivo de Destino de acordo com sua necessidade.

   

10. Após a transferência, clique no botão Refresh para verificar se o arquivo de perfil está na memória Flash.

    

11. Atribua o perfil à política de grupo interna (SBL).

    Siga este caminho, Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit SBL ( Internal Group Policy ) > Advanced > SSL VPN Client > Client Profile to Download e clique no botão New.

    No Add SSL VPN Client Profiles, clique no botão Browse para escolher o local do perfil (AnyConnectProfile.xml) armazenado na memória Flash do ASA. Atribua o Nome para o perfil, por exemplo, SBL. Clique em OK para concluir.

    

12. Remova a caixa de seleção Inherit e escolha SBL no campo Client Profile to Download. Click OK.

    

13. Clique em Aplicar para concluir.

    

Usar o arquivo de manifesto

O pacote do AnyConnect carregado no Security Appliance contém um arquivo chamado VPNManifest.xml. Este exemplo mostra um conteúdo de exemplo deste arquivo:

<?xml version="1.0" encoding="UTF-7"?> <vpn rev="1.0"> 
<file version="2.1.0150" id="VPNCore" 
   is_core="yes" type="exe" action="install">
   <uri>binaries/anyconnect-win-2.1.0150-web-deploy-k9.exe</uri>
 </file>
 <file version="2.1.0150" id="gina" 
   is_core="yes" type="exe" action="install" module="vpngina">
   <uri>binaries/anyconnect-gina-win-2.1.0150-web-deploy-k9.exe</uri>
 </file>
</vpn>

O Security Appliance armazenou nele perfis configurados, conforme explicado na Etapa 1, e também armazena um ou vários pacotes do AnyConnect que contêm o próprio cliente AnyConnect, o utilitário do downloader, o arquivo de manifesto e qualquer outro módulo opcional ou arquivo de suporte.

Quando um usuário remoto se conecta ao Security Appliance com o WebLaunch ou um cliente autônomo atual, o downloader é baixado primeiro e executado. Ele usa o arquivo de manifesto para verificar se há um cliente atual no PC do usuário remoto que precisa ser atualizado ou se uma instalação nova é necessária. O arquivo de manifesto também contém informações sobre a existência de módulos opcionais que devem ser baixados e instalados, nesse caso, o VPNGINA. O perfil do cliente também é extraído do Security Appliance. A instalação de VPNGINA é ativada pelo comando svc modules value vpngina configurado no modo de comando group-policy (webvpn) conforme explicado na Etapa 4. O AnyConnect Client e o VPNGINA são instalados e o usuário vê o AnyConnect Client na próxima reinicialização, antes do logon do Windows Domain.

Quando o usuário se conecta, o cliente e o perfil são passados para o PC do usuário; o cliente e o VPNGINA estão instalados; e o usuário vê o cliente AnyConnect na próxima reinicialização, antes do logon.

Um exemplo de perfil é fornecido no PC cliente quando o AnyConnect está instalado: C:\Documents and Settings\All Usuários\Aplicativo Data\Cisco\Cisco\AnyConnect VPN Client\Profile\AnyConnectProfile.

Solucionar problemas do SBL

Use este procedimento se você encontrar um problema com o SBL:

1. Certifique-se de que o perfil seja enviado por push.

2. Excluir perfis anteriores; procure-os no disco rígido para encontrar o local: *.xml

3. Ao acessar Adicionar/remover programas, você tem uma instalação do AnyConnect e uma instalação do AnyConnect VPN GINA?

4. Desinstale o cliente AnyConnect.

5. Limpe o registro do AnyConnect do usuário no Visualizador de eventos e teste novamente.

6. Navegue de volta para o Security Appliance para reinstalar o cliente.

7. Verifique se o perfil também é exibido.

8. Reinicialize uma vez. Na próxima reinicialização, aparecerá o prompt Start Before Logon.

9. Envie o registro de eventos do AnyConnect para a Cisco no formato .evt .

10. Se você vir esse erro, exclua o perfil de usuário e use o perfil padrão:

    Description: Unable to parse the profile 
    C:\Documents and Settings\All Users\Application Data\Cisco
    \Cisco AnyConnect VPN Client\Profile\VABaseProfile.xml. 
    Host data not available.
    		

Problema 1

Esta mensagem de erro é vista ao tentar carregar o perfil do AnyConnect: Erro ao validar o arquivo XML com o esquema mais recente. Como solucionar esse erro?

Solução 1

Essa mensagem de erro ocorre principalmente devido a problemas de sintaxe ou configuração no perfil do AnyConnect. Para resolver esse problema, consulte o capítulo AnyConnect Profile Editor do Cisco AnyConnect Secure Mobility Client Administrator Guide.

Informações Relacionadas

• Guia do administrador do Cisco AnyConnect VPN Client, versão 2.0
• Criando scripts de login - Windows TechNet
• Configuração do Início Antes do Logon (PLAP) em sistemas Windows Vista
• Exemplo de configuração do ASA 8.x VPN Access com o AnyConnect SSL VPN Client
• Cisco AnyConnect VPN Client
• Dispositivos de segurança adaptáveis Cisco ASA 5500 Series
• Suporte Técnico e Documentação - Cisco Systems