ASA 8.x: Permita que os usuários selecionem um grupo no início de uma sessão WebVPN através do Grupo-pseudônimo e do método Grupo-URL

Opções de download

PDF (207.2 KB)
Ver no Adobe Reader em vários dispositivos
ePub (261.0 KB)
Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle) (354.7 KB)
Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos

Atualizado:10 de Novembro de 2008

ID do documento:98580

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Índice

Introdução

Pré-requisitos

Configurar um pseudônimo e permita a gota-para baixo

ASDM

CLI

Configurar uma URL e permita a gota-para baixo

ASDM

CLI

Q e A

Verificar

Troubleshooting

Informações Relacionadas

Introdução

Os usuários SSL VPN (AnyConnect/SVC e sem clientes) podem escolher que [Connection Profile in Adaptive Security Device Manager (ASDM) lingo] do grupo de túneis alcançar usando estes métodos diferentes:

grupo-URL
grupo-pseudônimo (lista de drop-down do grupo de túneis na página de login)
certificado-mapas, se usando Certificados

Este documento demonstra como configurar a ferramenta de segurança adaptável (ASA) para permitir que os usuários selecionem um grupo através de um menu suspenso quando entram ao serviço WebVPN. Os grupos que aparecem no menu são pseudônimos ou URL dos perfis da conexão real (grupos de túneis) configurados no ASA. Este documento ilustra como criar pseudônimos e URL para perfis de conexão (grupos de túneis) e configurar então a gota-para baixo para aparecer. Esta configuração é executada usando o ASDM 6.0(2) em uma versão de software ASA 8.0(2) em execução.

Nota: A versão ASA 7.2.x apoia dois métodos: grupo-URL e lista do grupo-pseudônimo.

Nota: A versão ASA 8.0.x apoia três métodos: grupo-URL, grupo-pseudônimo, e certificado-mapas.

Pré-requisitos

Configuração básica WebVPN

Configurar um pseudônimo e permita a gota-para baixo

Nesta seção, você é presentado com a informação para configurar um pseudônimo para um perfil de conexão (grupo de túneis) e para configurar então aqueles pseudônimos para aparecer no menu suspenso do grupo na página de login WebVPN.

ASDM

Termine estas etapas a fim configurar um pseudônimo para um perfil de conexão (grupo de túneis) no ASDM. Repita como necessário para cada grupo para que você quer configurar um pseudônimo.

Escolha a configuração > o acesso > os perfis de conexão dos sem clientes SSL VPN.
Selecione um perfil de conexão e o clique edita.
Incorpore um pseudônimo ao campo dos pseudônimos.
Clique a APROVAÇÃO e aplique a mudança.
Nos perfis de conexão indicador, a verificação permite que o usuário selecione a conexão, identificada pelo pseudônimo na tabela acima, na página de login.

CLI

Use estes comandos na linha de comando configurar um pseudônimo para um perfil de conexão (grupo de túneis) e permitir a gota-para baixo do grupo de túneis. Repita como necessário para cada grupo para que você quer configurar um pseudônimo.

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Configurar uma URL e permita a gota-para baixo

Nesta seção, você é presentado com a informação para configurar uma URL para um perfil de conexão (grupo de túneis) e para configurar então aquelas URL para aparecer no menu suspenso do grupo na página de login WebVPN. Uma vantagem de usar a grupo-URL sobre o grupo-pseudônimo (gota-para baixo do grupo) é que você não expõe os nomes do grupo como o último método faz.

ASDM

Há dois métodos usados para especificar a Grupo-URL no ASDM:

Método do perfil - plenamente operacional

Edite o perfil AC e altere o campo do <HostAddress>.

Em Windows 2000/XP o arquivo de perfil padrão (por exemplo, CiscoAnyConnectProfile.xml) está no diretório: Usuários \ dados do aplicativo \ Cisco de C:\Documents and Settings\All \ Cisco AnyConnect VPN Client \ perfil.

O lugar para a vista é levemente diferente: Cliente VPN \ perfil de C:\ProgramData\Cisco\Cisco AnyConnect.
Incorpore a série de URL do grupo à conexão para colocar.

Três formatos de séries de URL do grupo são apoiados:
- https://asa-vpn1.companyA.com/Employees
- asa-vpn1.companyA.com/Employees
- asa-vpn1.companyA.com (domínio-somente, nenhum trajeto)

Termine estas etapas a fim configurar uma URL para um perfil de conexão (grupo de túneis) no ASDM. Repita como necessário para cada grupo para que você quer configurar uma URL.

Escolha o painel de Profiles>Advanced>Clientless SSL VPN da configuração > do acesso > da conexão dos sem clientes SSL VPN.
Selecione um perfil de conexão e o clique edita.
Incorpore uma URL ao campo URL do grupo.
Clique a APROVAÇÃO e aplique a mudança.

CLI

Use estes comandos na linha de comando configurar uma URL para um perfil de conexão (grupo de túneis) e permitir a gota-para baixo do grupo de túneis. Repita como necessário para cada grupo para que você quer configurar uma URL.

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Q e A

Pergunta:

Como você configura a grupo-URL se o gateway de VPN ASA é atrás de um dispositivo NAT?

Resposta:

O host/URL que o usuário incorpora será usado para o mapeamento do grupo. Consequentemente, você tem que usar o endereço do NAT'd, não o endereço real na interface externa do ASA. A melhor alternativa é usar o FQDN em vez do endereço IP de Um ou Mais Servidores Cisco ICM NT para o mapeamento grupo-URL.

Todo o mapeamento é executado no nível do protocolo HTTP (baseado na informação que o navegador envia) e uma URL é composta para traçar da informação em cabeçalhos HTTP entrantes. O nome de host ou o IP são tomados do encabeçamento do host e do resto da URL da linha do pedido do HTTP. Isto significa que o host/URL que o usuário entra estará usado para o mapeamento do grupo.

Verificar

Navegue à página de login WebVPN do ASA para verificar que a gota-para baixo está permitida e que os pseudônimos aparecem.

Navegue à página de login WebVPN do ASA para verificar que a gota-para baixo está permitida e que a URL aparece.

Troubleshooting

Se a lista de drop-down não aparece, esteja certo que você a permitiu e que os pseudônimos estão configurados. Os usuários fazem frequentemente uma destas coisas, mas não a outro.
Seja certo que você está conectando à base URL do ASA. A lista de drop-down não aparece se você conecta ao ASA usando uma grupo-URL, porque a finalidade da grupo-URL é executar a seleção de grupo.