ASA 8.x: Benutzer können eine Gruppe bei der WebVPN-Anmeldung über Gruppenalias und die Gruppen-URL-Methode auswählen

Download-Optionen

  • PDF     (370.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (257.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (352.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:10. November 2008
Dokument-ID:98580

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

SSL VPN-Benutzer (sowohl AnyConnect/SVC als auch Clientless) können die Tunnelgruppe [Connection Profile in Adaptive Security Device Manager (ASDM) lingo] für den Zugriff über folgende Methoden auswählen:

  • Gruppen-URL

  • Group-Alias (Tunnel-Gruppe-Dropdown-Liste auf der Anmeldeseite)

  • Certificate-Maps, falls Zertifikate verwendet werden

In diesem Dokument wird veranschaulicht, wie die Adaptive Security Appliance (ASA) konfiguriert wird, damit Benutzer bei der Anmeldung beim WebVPN-Dienst über ein Dropdown-Menü eine Gruppe auswählen können. Die im Menü angezeigten Gruppen sind entweder Aliase oder URLs echter Verbindungsprofile (Tunnelgruppen), die auf der ASA konfiguriert sind. In diesem Dokument wird veranschaulicht, wie Aliase und URLs für Verbindungsprofile (Tunnelgruppen) erstellt und das Dropdown-Menü so konfiguriert werden, dass es angezeigt wird. Diese Konfiguration wird mit ASDM 6.0(2) auf einem ASA-Gerät durchgeführt, auf dem die Software-Version 8.0(2) ausgeführt wird.

Hinweis: ASA 7.2.x unterstützt zwei Methoden: group-url und group-alias list.

Hinweis: ASA Version 8.0.x unterstützt drei Methoden: group-url, group-alias und certificate-maps.

Voraussetzungen

WebVPN-Basiskonfiguration

Alias konfigurieren und Dropdown-Menü aktivieren

In diesem Abschnitt werden die Informationen zum Konfigurieren eines Alias für ein Verbindungsprofil (Tunnelgruppe) und zum anschließenden Konfigurieren dieser Aliase im Dropdown-Menü "Gruppe" auf der WebVPN-Anmeldeseite angezeigt.

ASDM

Führen Sie diese Schritte aus, um einen Alias für ein Verbindungsprofil (Tunnelgruppe) im ASDM zu konfigurieren. Wiederholen Sie den Vorgang bei Bedarf für jede Gruppe, für die Sie einen Alias konfigurieren möchten.

  1. Wählen Sie Configuration > Clientless SSL VPN Access > Connection Profiles aus.

  2. Wählen Sie ein Verbindungsprofil aus, und klicken Sie auf Bearbeiten.

  3. Geben Sie im Feld Aliase einen Alias ein.

    enable-group-dropdown-1.gif

  4. Klicken Sie auf OK, und wenden Sie die Änderung an.

  5. Aktivieren Sie im Fenster Verbindungsprofile auf der Anmeldeseite das Kontrollkästchen Allow user to select connection, die in der Tabelle oben durch einen Alias gekennzeichnet ist.

    enable-group-dropdown-2.gif

CLI

Verwenden Sie diese Befehle in der Befehlszeile, um einen Alias für ein Verbindungsprofil (Tunnelgruppe) zu konfigurieren und das Dropdown-Menü "Tunnelgruppe" zu aktivieren. Wiederholen Sie den Vorgang bei Bedarf für jede Gruppe, für die Sie einen Alias konfigurieren möchten.

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

URL konfigurieren und Dropdown-Menü aktivieren

In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren einer URL für ein Verbindungsprofil (Tunnelgruppe) und zum Konfigurieren dieser URLs, sodass sie im Dropdown-Menü "Gruppe" auf der WebVPN-Anmeldeseite angezeigt werden. Ein Vorteil der Verwendung von group-url über group-alias (Gruppe-Dropdown-Liste) ist, dass Sie die Gruppennamen nicht wie die zweite Methode verfügbar machen.

ASDM

Es gibt zwei Methoden, um die Gruppen-URL im ASDM anzugeben:

  • Profilmethode - voll funktionsfähig

    Bearbeiten Sie das AC-Profil, und ändern Sie das Feld <HostAddress>.

    Unter Windows 2000/XP befindet sich die Standardprofildatei (z. B. CiscoAnyConnectProfile.xml) im Verzeichnis C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect VPN Client\Profile.

    Der Speicherort für Vista ist etwas anders: C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\Profile.

  • Geben Sie die URL-Zeichenfolge für die Gruppe in das Feld Verbinden mit ein.

    Es werden drei Formate von Gruppen-URL-Zeichenfolgen unterstützt:

    • https://asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com (nur Domäne, kein Pfad)

Führen Sie diese Schritte aus, um eine URL für ein Verbindungsprofil (Tunnelgruppe) im ASDM zu konfigurieren. Wiederholen Sie den Vorgang bei Bedarf für jede Gruppe, für die Sie eine URL konfigurieren möchten.

  1. Wählen Sie Configuration > Clientless SSL VPN Access > Connection Profiles > Advanced > Clientless SSL VPN aus.

  2. Wählen Sie ein Verbindungsprofil aus, und klicken Sie auf Bearbeiten.

  3. Geben Sie eine URL in das Feld Gruppen-URLs ein.

    enable-group-dropdown-4.gif

  4. Klicken Sie auf OK, und wenden Sie die Änderung an.

CLI

Verwenden Sie diese Befehle in der Befehlszeile, um eine URL für ein Verbindungsprofil (Tunnelgruppe) zu konfigurieren und das Dropdown-Menü "Tunnelgruppe" zu aktivieren. Wiederholen Sie den Vorgang bei Bedarf für jede Gruppe, für die Sie eine URL konfigurieren möchten.

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Fragen und Antworten

Frage:

Wie wird die Gruppen-URL konfiguriert, wenn sich das ASA VPN-Gateway hinter einem NAT-Gerät befindet?

Antwort:

Der vom Benutzer eingegebene Host/die eingegebene URL wird für die Gruppenzuordnung verwendet. Aus diesem Grund müssen Sie die NAT-Adresse verwenden, nicht die tatsächliche Adresse auf der externen Schnittstelle der ASA. Die beste Alternative besteht darin, für die Gruppen-URL-Zuordnung anstelle der IP-Adresse FQDN zu verwenden.

Alle Zuordnungen werden auf HTTP-Protokollebene implementiert (basierend auf Informationen, die der Browser sendet), und eine URL wird erstellt, um Informationen aus eingehenden HTTP-Headern zuzuordnen. Der Hostname oder die IP-Adresse wird aus dem Host-Header und der Rest der URL aus der HTTP-Anforderungszeile entnommen. Das bedeutet, dass der vom Benutzer eingegebene Host/die eingegebene URL für die Gruppenzuordnung verwendet wird.

Überprüfung

Navigieren Sie zur WebVPN-Anmeldeseite von ASA, um sicherzustellen, dass das Dropdown-Menü aktiviert ist und die Aliase angezeigt werden.

enable-group-dropdown-3.gif

Navigieren Sie zur WebVPN-Anmeldeseite von ASA, um sicherzustellen, dass das Dropdown-Menü aktiviert ist und die URL angezeigt wird.

enable-group-dropdown-5.gif

Fehlerbehebung

  • Wenn die Dropdown-Liste nicht angezeigt wird, stellen Sie sicher, dass Sie sie aktiviert und die Aliase konfiguriert haben. Benutzer tun oft eines dieser Dinge, aber nicht das andere.

  • Stellen Sie sicher, dass Sie eine Verbindung zur Basis-URL der ASA herstellen. Die Dropdown-Liste wird nicht angezeigt, wenn Sie sich mit einer Gruppen-URL bei der ASA anmelden, da die Gruppen-URL dazu dient, die Gruppenauswahl durchzuführen.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
17-Aug-2007
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.