ASA 8.x：允許使用者透過Group-Alias和Group-URL方法在WebVPN登入時選擇組

簡介

SSL VPN使用者（AnyConnect/SVC和無客戶端）可以使用以下不同的方法選擇要訪問哪個隧道組[自適應安全裝置管理器(ASDM)中的連線配置檔案lingo]：

• group-url

• group-alias （登入頁面上的通道群組下拉式清單）

• certificate-maps，如果使用證書

本文檔演示如何配置自適應安全裝置(ASA)，以允許使用者在登入WebVPN服務時透過下拉選單選擇組。選單中顯示的組是在ASA上配置的實際連線配置檔案（隧道組）的別名或URL。本文檔說明如何為連線配置檔案（隧道組）建立別名和URL，然後配置顯示的下拉選單。此配置使用ASDM 6.0(2)在運行軟體版本8.0(2)的ASA上執行。

注意：ASA版本7.2.x支援兩種方法：group-url和group-alias list。

注意：ASA版本8.0.x支援三種方法：group-url、group-alias和certificate-maps。

必要條件

基本WebVPN配置

配置別名並啟用下拉選單

本節提供為連線配置檔案（隧道組）配置別名，然後配置這些別名以顯示在WebVPN登入頁面的Group下拉選單中的資訊。

ASDM

要在ASDM中配置連線配置檔案（隧道組）的別名，請完成以下步驟。視需要針對每個要設定別名的群組重複上述步驟。

1. 選擇Configuration > Clientless SSL VPN Access > Connection Profiles。

2. 選擇一個連線配置檔案並按一下Edit。

3. 在「別名」欄位中輸入別名。

   

4. 按一下OK和Apply更改。

5. 在「Connection Profiles」窗口中，選中Allow user to select connection， identified by alias in the table above， at login page。

   

CLI

在命令列使用這些命令配置連線配置檔案（隧道組）的別名並啟用隧道組下拉選單。視需要針對每個要設定別名的群組重複上述步驟。

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

配置URL並啟用下拉選單

本節提供設定連線設定檔（通道群組）的URL，然後設定那些URL以顯示在WebVPN登入頁面的Group下拉式功能表中的資訊。使用group-url而不是group-alias (group drop-down)的一個優點是，您不會像後一種方法那樣公開組名。

ASDM

在ASDM中指定Group-URL的方法有兩種：

• 設定檔方法-完全作業

  編輯AC配置檔案並修改<HostAddress>欄位。

  在Windows 2000/XP上，預設配置檔案（例如，CiscoAnyConnectProfile.xml）位於目錄：C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect VPN Client\Profile。

  Vista的位置略有不同：C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\Profile。

• 在Connect To欄位中輸入組URL字串。

  支援三種群組URL字串格式：

  • https://asa-vpn1.companyA.com/Employees

  • asa-vpn1.companyA.com/Employees

  • asa-vpn1.companyA.com （僅限網域，無路徑）

要在ASDM中配置連線配置檔案（隧道組）的URL，請完成以下步驟。請根據需要為要配置URL的每個組重複上述步驟。

1. 選擇Configuration > Clientless SSL VPN Access > Connection Profiles>Advanced>Clientless SSL VPN panel。

2. 選擇一個連線配置檔案並按一下Edit。

3. 在「群組URL」欄位中輸入URL。

   

4. 按一下OK和Apply更改。

CLI

在命令列使用這些命令配置連線配置檔案（隧道組）的URL並啟用隧道組下拉選單。請根據需要為要配置URL的每個組重複上述步驟。

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Q和A

問題：

如果ASA VPN網關位於NAT裝置之後，如何配置group-url？

答案：

使用者輸入的主機/URL將用於組對映。因此，您必須使用NAT地址，而不是ASA外部介面上的實際地址。最好的替代方案是使用FQDN而不是IP地址進行組URL對映。

所有對映均在HTTP協定級別（基於瀏覽器傳送的資訊）實現，並且會根據傳入HTTP報頭中的資訊構成URL進行對映。主機名或IP取自主機報頭，其餘URL取自HTTP請求行。這表示使用者輸入的主機/URL將用於群組對應。

驗證

導航到ASA的WebVPN登入頁面，驗證是否已啟用下拉選單以及是否顯示別名。

導航到ASA的WebVPN登入頁面，驗證是否已啟用下拉選單並顯示URL。

疑難排解

• 如果未顯示下拉選單，請確保已啟用該清單並配置了別名。使用者通常做這些事情之一，但不會做其他事情。

• 請確保連線到ASA的基本URL。如果使用group-url連線到ASA，則不會顯示下拉選單，因為group-url的目的是執行組選擇。

相關資訊

• Cisco ASA 5500系列調適型安全裝置
• 技術支援與文件 - Cisco Systems