ASA 8.x: السماح للمستخدمين بتحديد مجموعة في تسجيل الدخول إلى WebVPN من خلال أسلوب الاسم المستعار للمجموعة وخط عنوان URL للمجموعة

المقدمة

يمكن لمستخدمي SSL VPN (كلا من AnyConnect/SVC و ClientLess) إختيار مجموعة النفق [ملف تعريف الاتصال في إدارة أجهزة الأمان المعدلة (ASDM)] للوصول باستخدام هذه الطرق المختلفة:

• عنوان URL للمجموعة

• الاسم المستعار للمجموعة (القائمة المنسدلة لمجموعة النفق في صفحة تسجيل الدخول)

• مخططات الشهادات، إذا كنت تستخدم التراخيص

يوضح هذا المستند كيفية تكوين جهاز الأمان القابل للتكيف (ASA) للسماح للمستخدمين بتحديد مجموعة عبر قائمة منسدلة عند تسجيل الدخول إلى خدمة WebVPN. المجموعات التي تظهر في القائمة إما أسماء مستعارة أو عناوين ربط URL لتوصيفات توصيل حقيقية (مجموعات أنفاق) مكونة على ال ASA. يوضح هذا المستند كيفية إنشاء أسماء مستعارة و URLs لتوصيفات الاتصال (مجموعات الأنفاق) ثم تكوين القائمة المنسدلة للظهور. يتم تنفيذ هذا التكوين باستخدام ASDM 6.0(2) على ASA الذي يشغل الإصدار 8.0(2) من البرنامج.

ملاحظة: يدعم الإصدار 7.2.x من ASA طريقتين: Group-url وقائمة الأسماء المستعارة للمجموعة.

ملاحظة: يدعم الإصدار 8.0.x من ASA ثلاث طرق: عنوان URL للمجموعة، الاسم المستعار للمجموعة، وخرائط الشهادات.

المتطلبات الأساسية

تكوين WebVPN الأساسي

تكوين اسم مستعار وتمكين القائمة المنسدلة

في هذا القسم، تقدم لك معلومات تكوين اسم مستعار لملف تعريف اتصال (مجموعة أنفاق) ثم تكوين هذه الأسماء المستعارة لتظهر في القائمة المنسدلة "مجموعة" في صفحة تسجيل الدخول إلى WebVPN.

ASDM

أكمل هذه الخطوات لتكوين اسم مستعار لملف تعريف اتصال (مجموعة نفق) في ASDM. كرر حسب الضرورة لكل مجموعة تريد تكوين اسم مستعار لها.

1. أختر تكوين > وصول SSL VPN دون عميل > توصيفات الاتصال.

2. حدد توصيف توصيل وانقر على تحرير.

3. أدخل اسما مستعارا في حقل الأسماء المستعارة.

   

4. طقطقت ok وطبقت التغيير.

5. في إطار توصيفات التوصيل، تحقق من السماح للمستخدم بتحديد اتصال معرف باسم مستعار في الجدول أعلاه في صفحة تسجيل الدخول.

   

CLI

أستخدم هذه الأوامر في سطر الأوامر لتكوين اسم مستعار لملف تعريف اتصال (مجموعة النفق) وتمكين القائمة المنسدلة لمجموعة النفق. كرر حسب الضرورة لكل مجموعة تريد تكوين اسم مستعار لها.

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

تكوين عنوان URL وتمكين القائمة المنسدلة

في هذا القسم، تقدم لك معلومات تكوين عنوان URL لملف تعريف اتصال (مجموعة أنفاق) ثم تكوين عناوين URL هذه للظهور في القائمة المنسدلة "مجموعة" في صفحة تسجيل الدخول إلى WebVPN. إحدى ميزات إستخدام عنوان URL الخاص بالمجموعة عبر الاسم المستعار للمجموعة (القائمة المنسدلة للمجموعة) هي أنك لا تكشف أسماء المجموعة كما هو الحال بالنسبة للأسلوب الأخير.

ASDM

هناك طريقتان يتم إستخدامهما لتحديد عنوان URL الخاص بالمجموعة في ASDM:

• أسلوب ملف التعريف - قابل للتشغيل بالكامل

  قم بتحرير ملف تعريف التيار المتردد وتعديل حقل <HostAddress>.

  في Windows 2000/XP، يكون ملف التعريف الافتراضي (على سبيل المثال، CiscoAnyConnectProfile.xml) في الدليل: C:\Documents and Settings\All Users\Application Data\Cisco\Cisco\AnyConnect VPN Client\Profile.

  يختلف موقع Vista إختلافا طفيفا: C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\Profile.

• أدخل سلسلة عنوان URL للمجموعة في حقل الاتصال ب.

  ثلاثة تنسيقات من سلاسل عنوان URL للمجموعة مدعومة:

  • https://asa-vpn1.companyA.com/Employees

  • asa-vpn1.companyA.com/Employees

  • asa-vpn1.companyA.com (المجال فقط، بدون مسار)

أكمل هذه الخطوات لتكوين عنوان URL لملف تعريف اتصال (مجموعة نفق) في ASDM. كرر حسب الضرورة لكل مجموعة تريد تكوين URL لها.

1. أختر تكوين > وصول SSL VPN بدون عميل > ملفات تعريف الاتصال>متقدم>SSL VPN بدون عميل.

2. حدد توصيف توصيل وانقر على تحرير.

3. أدخل عنوان URL في حقل عناوين URL الخاصة بالمجموعة.

   

4. طقطقت ok وطبقت التغيير.

CLI

أستخدم هذه الأوامر في سطر الأوامر لتكوين URL لملف تعريف اتصال (مجموعة النفق) وتمكين القائمة المنسدلة لمجموعة النفق. كرر حسب الضرورة لكل مجموعة تريد تكوين URL لها.

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

س و أ

سؤال:

كيف يمكنك تكوين عنوان URL الخاص بالمجموعة إذا كانت عبارة ASA VPN خلف جهاز nat؟

الإجابة:

سيتم إستخدام المضيف/عنوان URL الذي يقوم المستخدم بإدخاله لتعيين المجموعة. لذلك، أنت ينبغي استعملت ال nat_d عنوان، ليس العنوان حقيقي على ال ASA قارن خارجي. أفضل بديل هو إستخدام FQDN بدلا من عنوان IP لتعيين عنوان URL الخاص بالمجموعة.

يتم تنفيذ كافة التعيينات على مستوى بروتوكول HTTP (استنادا إلى المعلومات التي يرسلها المستعرض) ويتم تكوين URL للتعيين من المعلومات الموجودة في رؤوس HTTP الواردة. يتم أخذ اسم المضيف أو IP من رأس المضيف وبقية عنوان URL من سطر طلب HTTP. هذا يعني أنه سيتم إستخدام المضيف/عنوان URL الذي يقوم المستخدم بإدخاله لتعيين المجموعة.

التحقق من الصحة

انتقل إلى صفحة تسجيل الدخول إلى WebVPN الخاصة ب ASA للتحقق من تمكين القائمة المنسدلة ومن ظهور الأسماء المستعارة.

انتقل إلى صفحة تسجيل الدخول إلى WebVPN الخاصة ب ASA للتحقق من تمكين القائمة المنسدلة ومن ظهور عنوان URL.

استكشاف الأخطاء وإصلاحها

• إذا لم تظهر القائمة المنسدلة، تأكد من تمكينها ومن تكوين الأسماء المستعارة. غالبا ما يقوم المستخدمون بأحد هذه الأشياء، لكن ليس الآخر.

• تأكد من إتصالك بعنوان URL الأساسي ل ASA. لا تظهر القائمة المنسدلة إذا قمت بالاتصال ب ASA باستخدام عنوان URL لمجموعة، حيث أن الغرض من عنوان URL للمجموعة هو تنفيذ تحديد المجموعة.

معلومات ذات صلة

• أجهزة الأمان Cisco ASA 5500 Series Adaptive Security Appliances
• الدعم التقني والمستندات - Cisco Systems