ASA 8.x: Permitir que os usuários selecionem um grupo no login do WebVPN pelo método Group-Alias e Group-URL

Opções de download

  • PDF     (369.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (255.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (351.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:10 de novembro de 2008
ID do documento:98580

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Os usuários de VPN SSL (AnyConnect/SVC e sem cliente) podem escolher qual grupo de túnel [Perfil de conexão na linha do Adaptive Security Device Manager (ASDM)] acessar usando estes métodos diferentes:

  • group-url

  • group-alias (lista suspensa do grupo de túneis na página de login)

  • mapas de certificado, se estiver usando certificados

Este documento demonstra como configurar o Adaptive Security Appliance (ASA) para permitir que os usuários selecionem um grupo por meio de um menu suspenso quando efetuarem login no serviço WebVPN. Os grupos que aparecem no menu são aliases ou URLs de perfis de conexão reais (grupos de túneis) configurados no ASA. Este documento ilustra como criar aliases e URLs para perfis de conexão (grupos de túneis) e, em seguida, configurar o menu suspenso para que apareça. Esta configuração é executada usando o ASDM 6.0(2) em uma versão de software ASA 8.0(2) em execução.

Observação: o ASA versão 7.2.x suporta dois métodos: group-url e group-alias list.

Observação: o ASA versão 8.0.x suporta três métodos: group-url, group-alias e certificate-maps.

Pré-requisitos

Configuração WebVPN básica

Configurar um alias e ativar o menu suspenso

Nesta seção, você verá as informações para configurar um alias para um perfil de conexão (grupo de túneis) e, em seguida, configurar esses aliases para que apareçam no menu suspenso Grupo na página de login do WebVPN.

ASDM

Conclua estas etapas para configurar um alias para um perfil de conexão (grupo de túneis) no ASDM. Repita conforme necessário para cada grupo para o qual deseja configurar um alias.

  1. Escolha Configuration > Clientless SSL VPN Access > Connection Profiles.

  2. Selecione um perfil de conexão e clique em Editar.

  3. Informe um apelido no campo Apelidos.

    enable-group-dropdown-1.gif

  4. Clique em OK e Aplicar a alteração.

  5. Na janela Perfis de Conexão, marque Permitir que o usuário selecione a conexão, identificada pelo apelido na tabela acima, na página de login.

    enable-group-dropdown-2.gif

CLI

Use esses comandos na linha de comando para configurar um alias para um perfil de conexão (grupo de túneis) e habilitar a lista suspensa do grupo de túneis. Repita conforme necessário para cada grupo para o qual deseja configurar um alias.

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Configure um URL e habilite o menu suspenso

Nesta seção, você verá as informações para configurar um URL para um perfil de conexão (grupo de túneis) e, em seguida, configurar esses URLs para serem exibidos no menu suspenso Grupo na página de login do WebVPN. Uma vantagem de usar group-url sobre group-alias (grupo suspenso) é que você não expõe os nomes de grupo como o último método faz.

ASDM

Há dois métodos usados para especificar o URL do grupo no ASDM:

  • Método de perfil - totalmente operacional

    Edite o perfil de CA e modifique o campo <EndereçoHost>.

    No Windows 2000/XP, o arquivo de perfil padrão (por exemplo, CiscoAnyConnectProfile.xml) está no diretório: C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect VPN Client\Profile.

    O local do Vista é um pouco diferente: C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\Profile.

  • Digite a string URL do grupo no campo Conectar-se a.

    Há suporte para três formatos de cadeias de caracteres de URL de grupo:

    • https://asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com (somente domínio, sem caminho)

Conclua estas etapas para configurar um URL para um perfil de conexão (grupo de túneis) no ASDM. Repita conforme necessário para cada grupo para o qual deseja configurar um URL.

  1. Escolha Configuration > Clientless SSL VPN Access > Connection Profiles>Advanced>Clientless SSL VPN panel.

  2. Selecione um perfil de conexão e clique em Editar.

  3. Digite um URL no campo URLs do grupo.

    enable-group-dropdown-4.gif

  4. Clique em OK e Aplicar a alteração.

CLI

Use esses comandos na linha de comando para configurar um URL para um perfil de conexão (grupo de túneis) e habilitar a lista suspensa do grupo de túneis. Repita conforme necessário para cada grupo para o qual deseja configurar um URL.

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

P e R

Pergunta:

Como você configura o group-url se o gateway de VPN ASA estiver por trás de um dispositivo NAT?

Resposta:

O host/URL que o usuário digitar será usado para o mapeamento do grupo. Portanto, você deve usar o endereço NAT, não o endereço real na interface externa do ASA. A melhor alternativa é usar o FQDN em vez do endereço IP para o mapeamento de url de grupo.

Todo o mapeamento é implementado em nível de protocolo HTTP (com base nas informações que o navegador envia) e uma URL é composta para mapear a partir de informações em cabeçalhos HTTP de entrada. O nome do host ou IP é obtido do cabeçalho do host e o restante do URL da linha de solicitação HTTP. Isso significa que o host/URL que o usuário digitar será usado para o mapeamento do grupo.

Verificar

Navegue até a página de login do WebVPN do ASA para verificar se a lista suspensa está habilitada e se os aliases são exibidos.

enable-group-dropdown-3.gif

Navegue até a página de login do WebVPN do ASA para verificar se a lista suspensa está habilitada e se a URL é exibida.

enable-group-dropdown-5.gif

Troubleshooting

  • Se a lista suspensa não for exibida, verifique se você a habilitou e se os aliases estão configurados. Os usuários frequentemente fazem uma dessas coisas, mas não a outra.

  • Verifique se você está se conectando à URL base do ASA. A lista suspensa não será exibida se você se conectar ao ASA usando um group-url, pois a finalidade do group-url é executar a seleção do grupo.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
17-Aug-2007
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos