ASA 8.x: permite a los usuarios seleccionar un grupo en el inicio de sesión de WebVPN a través del alias de grupo y el método de URL de grupo

Opciones de descarga

  • PDF     (368.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (258.4 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (353.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:10 de noviembre de 2008
ID del documento:98580

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Los usuarios de VPN SSL (tanto AnyConnect/SVC como Clientless) pueden elegir a qué grupo de túnel [perfil de conexión en la línea del administrador adaptable de dispositivos de seguridad (ASDM)] acceder usando estos métodos diferentes:

  • group-url

  • alias de grupo (lista desplegable grupo de túnel en la página de inicio de sesión)

  • asignaciones de certificados, si se utilizan certificados

Este documento demuestra cómo configurar el Adaptive Security Appliance (ASA) para permitir que los usuarios seleccionen un grupo a través de un menú desplegable cuando inician sesión en el servicio WebVPN. Los grupos que aparecen en el menú son alias o URL de perfiles de conexión reales (grupos de túnel) configurados en el ASA. Este documento ilustra cómo crear alias y URL para perfiles de conexión (grupos de túnel) y luego configurar el menú desplegable para que aparezca. Esta configuración se realiza mediante ASDM 6.0(2) en un ASA que ejecuta la versión de software 8.0(2).

Nota: la versión 7.2.x de ASA admite dos métodos: group-url y group-alias list.

Nota: la versión 8.0.x de ASA admite tres métodos: group-url, group-alias y certificate-maps.

Prerequisites

Configuración básica de WebVPN

Configuración de un alias y habilitación del menú desplegable

En esta sección, se le presenta la información para configurar un alias para un perfil de conexión (grupo de túnel) y luego configurar esos alias para que aparezcan en el menú desplegable Grupo en la página de inicio de sesión de WebVPN.

ASDM

Complete estos pasos para configurar un alias para un perfil de conexión (grupo de túnel) en el ASDM. Repita este procedimiento según sea necesario para cada grupo para el que desee configurar un alias.

  1. Elija Configuration > Clientless SSL VPN Access > Connection Profiles.

  2. Seleccione un perfil de conexión y haga clic en Editar.

  3. Introduzca un alias en el campo Alias.

    enable-group-dropdown-1.gif

  4. Haga clic en Aceptar y Aplicar el cambio.

  5. En la ventana Perfiles de conexión, marque Permitir al usuario seleccionar la conexión, identificada por alias en la tabla anterior, en la página de inicio de sesión.

    enable-group-dropdown-2.gif

CLI

Utilice estos comandos en la línea de comandos para configurar un alias para un perfil de conexión (grupo de túnel) y activar el menú desplegable grupo de túnel. Repita este procedimiento según sea necesario para cada grupo para el que desee configurar un alias.

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Configuración de una URL y activación del menú desplegable

En esta sección, se le presenta la información para configurar una URL para un perfil de conexión (grupo de túnel) y luego configurar esas URL para que aparezcan en el menú desplegable Grupo en la página de inicio de sesión de WebVPN. Una ventaja de usar group-url sobre group-alias (lista desplegable de grupo) es que no se exponen los nombres de grupo como lo hace el último método.

ASDM

Hay dos métodos utilizados para especificar el Group-URL en ASDM:

  • Método de perfil: totalmente operativo

    Edite el perfil AC y modifique el campo <HostAddress>.

    En Windows 2000/XP, el archivo de perfil predeterminado (por ejemplo, CiscoAnyConnectProfile.xml) se encuentra en el directorio: C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect VPN Client\Profile.

    La ubicación de Vista es ligeramente diferente: C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\Profile.

  • Introduzca la cadena de URL del grupo en el campo Connect To (Conectar a).

    Se admiten tres formatos de cadenas de URL de grupo:

    • https://asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com (solo dominio, sin ruta)

Complete estos pasos para configurar una URL para un perfil de conexión (grupo de túnel) en el ASDM. Repita este procedimiento según sea necesario para cada grupo para el que desee configurar una dirección URL.

  1. Elija Configuration > Clientless SSL VPN Access > Connection Profiles>Advanced>Clientless SSL VPN panel.

  2. Seleccione un perfil de conexión y haga clic en Editar.

  3. Introduzca una URL en el campo URL de grupo.

    enable-group-dropdown-4.gif

  4. Haga clic en Aceptar y Aplicar el cambio.

CLI

Utilice estos comandos en la línea de comandos para configurar una dirección URL para un perfil de conexión (grupo de túnel) y activar el menú desplegable grupo de túnel. Repita este procedimiento según sea necesario para cada grupo para el que desee configurar una dirección URL.

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Preguntas y respuestas

Pregunta:

¿Cómo configura el group-url si el gateway VPN ASA está detrás de un dispositivo NAT?

Respuesta:

El host/URL que introduzca el usuario se utilizará para la asignación de grupo. Por lo tanto, debe utilizar la dirección NAT, no la dirección real en la interfaz exterior del ASA. La mejor alternativa es utilizar FQDN en lugar de la dirección IP para la asignación de url de grupo.

Toda la asignación se implementa en el nivel de protocolo HTTP (en función de la información que envía el explorador) y se crea una URL para asignar a partir de la información de los encabezados HTTP entrantes. El nombre de host o IP se toma del encabezado de host y el resto de la URL de la línea de solicitud HTTP. Esto significa que el host/URL que ingresa el usuario se utilizará para la asignación de grupo.

Verificación

Navegue hasta la página de inicio de sesión WebVPN del ASA para verificar que la lista desplegable esté habilitada y que aparezcan los alias.

enable-group-dropdown-3.gif

Navegue hasta la página de inicio de sesión WebVPN del ASA para verificar que la lista desplegable está habilitada y que aparece la URL.

enable-group-dropdown-5.gif

Troubleshoot

  • Si no aparece la lista desplegable, asegúrese de que la ha activado y de que se han configurado los alias. A menudo, los usuarios realizan una de estas acciones, pero no la otra.

  • Asegúrese de que se conecta a la URL base del ASA. La lista desplegable no aparece si se conecta al ASA usando un group-url, ya que el propósito del group-url es realizar la selección de grupo.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
17-Aug-2007
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos