ASA 8.x: Konfiguration der AnyConnect-Funktion vor der Anmeldung

Einleitung

Wenn Start Before Logon (SBL) aktiviert ist, wird dem Benutzer das Anmeldedialogfeld der AnyConnect-Benutzeroberfläche angezeigt, bevor das Windows^®-Anmeldedialogfeld angezeigt wird. Dadurch wird zuerst die VPN-Verbindung hergestellt. Der nur für Windows-Plattformen verfügbare Befehl "Start Before Logon" ermöglicht es dem Administrator, die Verwendung von Anmeldeskripts, die Zwischenspeicherung von Kennwörtern, die Zuordnung von Netzwerklaufwerken zu lokalen Laufwerken usw. zu steuern. Sie können die SBL-Funktion verwenden, um das VPN als Teil der Anmeldesequenz zu aktivieren. SBL ist standardmäßig deaktiviert.

Weitere Informationen zur Konfiguration der AnyConnect VPN Client-Funktionen finden Sie im Abschnitt Konfigurieren der AnyConnect Client-Funktionen.

Hinweis: Innerhalb des AnyConnect-Clients können Sie die Funktion nur für SBL konfigurieren. Netzwerkadministratoren verwalten die Verarbeitung, die vor der Anmeldung erfolgt, je nach den Anforderungen ihrer Situation. Anmeldeskripte können einer Domäne oder einzelnen Benutzern zugewiesen werden. Im Allgemeinen lassen die Administratoren der Domäne Stapeldateien oder Ähnliches mit Benutzern oder Gruppen in Active Directory definieren. Sobald sich der Benutzer anmeldet, wird das Anmeldeskript ausgeführt.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco Adaptive Security Appliances der Serie ASA 5500 mit Softwareversion 8.x

• Cisco AnyConnect VPN Version 2.0

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Der Punkt von SBL ist, dass es einen Remote-Computer mit der Unternehmensinfrastruktur verbindet, bevor es sich beim PC anmeldet. Beispielsweise kann sich ein Benutzer außerhalb des physischen Unternehmensnetzwerks befinden und erst dann auf Unternehmensressourcen zugreifen, wenn sein PC zum Unternehmensnetzwerk gehört. Wenn SBL aktiviert ist, stellt der AnyConnect-Client eine Verbindung her, bevor der Benutzer das Microsoft-Anmeldefenster sieht. Der Benutzer muss sich außerdem wie gewohnt bei Windows anmelden, wenn das Microsoft-Anmeldefenster angezeigt wird.

Für die Verwendung von SBL gibt es mehrere Gründe:

• Der PC des Benutzers wird mit einer Active Directory-Infrastruktur verknüpft.

• Der Benutzer kann keine zwischengespeicherten Anmeldeinformationen auf dem PC haben, d. h., wenn die Gruppenrichtlinie zwischengespeicherte Anmeldeinformationen nicht zulässt.

• Der Benutzer muss Anmeldeskripte ausführen, die von einer Netzwerkressource ausgeführt werden oder Zugriff auf eine Netzwerkressource erfordern.

• Ein Benutzer verfügt über einem Netzwerk zugeordnete Laufwerke, die eine Authentifizierung mit der Active Directory-Infrastruktur erfordern.

• Netzwerkkomponenten wie MS NAP/CS NAC können eine Verbindung zur Infrastruktur erfordern.

SBL erstellt ein Netzwerk, das der Integration in das lokale Firmen-LAN entspricht. Da der Benutzer Zugriff auf die lokale Infrastruktur hat, stehen bei aktiviertem SBL die Anmeldeskripte, die normalerweise für einen Benutzer im Büro laufen, auch dem Remote-Benutzer zur Verfügung.

Informationen zum Erstellen von Anmeldeskripts finden Sie in diesem Microsoft TechNet-Artikel.

Weitere Informationen zur Verwendung lokaler Anmeldeskripts in Windows XP finden Sie in diesem Microsoft-Artikel.

In einem anderen Beispiel kann ein System so konfiguriert werden, dass zwischengespeicherte Anmeldedaten für die Anmeldung am PC nicht zugelassen werden. In diesem Szenario müssen Benutzer in der Lage sein, mit einem Domänencontroller im Unternehmensnetzwerk zu kommunizieren, damit ihre Anmeldeinformationen vor dem Zugriff auf den PC überprüft werden können. Bei SBL muss zum Zeitpunkt des Aufrufs eine Netzwerkverbindung vorhanden sein. In einigen Fällen ist dies nicht möglich, da eine Wireless-Verbindung für die Verbindung mit der Wireless-Infrastruktur von den Anmeldeinformationen des Benutzers abhängen kann. Da der SBL-Modus vor der Anmeldephase einer Anmeldung ausgeführt wird, ist in diesem Szenario keine Verbindung verfügbar. In diesem Fall muss die Wireless-Verbindung so konfiguriert werden, dass die Anmeldeinformationen bei der Anmeldung zwischengespeichert werden, oder es muss eine andere Wireless-Authentifizierung konfiguriert werden, damit SBL funktioniert.

Installieren von Start vor den Anmeldekomponenten (nur Windows)

Die Komponenten Start Before Logon müssen nach der Installation des Core-Clients installiert werden. Darüber hinaus erfordern die AnyConnect 2.2-Komponenten "Start Before Logon", dass Version 2.2 oder höher der AnyConnect-Kernsoftware installiert ist. Wenn Sie den AnyConnect-Client und die Start Before Logon-Komponenten mit den MSI-Dateien vorab bereitstellen (z. B. in einem großen Unternehmen mit eigener Softwarebereitstellung (Altiris, Active Directory oder SMS), müssen Sie die richtige Bestellung aufgeben. Die Reihenfolge der Installation wird automatisch festgelegt, wenn der Administrator AnyConnect lädt, wenn es über das Internet bereitgestellt und/oder aktualisiert wird. Vollständige Installationsinformationen finden Sie in den Versionshinweisen für Cisco AnyConnect VPN Client, Version 2.2.

Unterschiede zwischen Windows-Vista\Windows 7 und Pre-Vista Start vor der Anmeldung

Die Verfahren zur Aktivierung von SBL unterscheiden sich geringfügig auf Windows Vista- und Windows 7-Systemen. Systeme vor Vista verwenden eine Komponente namens Virtual Private Network Graphical Identification and Authentication (VPNGINA), um SBL zu implementieren. Vista und Windows 7 verwenden eine Komponente namens PLAP, um SBL zu implementieren.

Im AnyConnect-Client wird die Windows Vista-Funktion "Start Before Logon" als Pre-Login Access Provider (PLAP) bezeichnet, bei dem es sich um einen Anbieter von verbindbaren Anmeldeinformationen handelt. Mit dieser Funktion können Netzwerkadministratoren vor der Anmeldung bestimmte Aufgaben durchführen, z. B. das Sammeln von Anmeldeinformationen oder das Herstellen einer Verbindung mit Netzwerkressourcen. PLAP bietet Start Before Logon-Funktionen unter Windows Vista, Windows 7 und dem Windows 2008 Server. PLAP unterstützt 32-Bit- und 64-Bit-Versionen des Betriebssystems mit vpnplap.dll bzw. vpnplap64.dll. Die PLAP-Funktion unterstützt Windows Vista x86 und x64.

Hinweis: In diesem Abschnitt bezieht sich VPNGINA auf die Funktion "Start Before Logon" (Vor der Anmeldung starten) für Plattformen vor Vista, und PLAP auf die Funktion "Start Before Logon" (Vor der Anmeldung starten) für Windows Vista- und Windows 7-Systeme.

In Systemen vor Vista verwendet Start Before Logon eine Komponente, die als "VPN Graphical Identification and Authentication Dynamic Link Library" (vpngina.dll) bezeichnet wird, um Funktionen für Start Before Logon bereitzustellen. Die Komponente Windows PLAP, die Teil von Windows Vista ist, ersetzt die Komponente Windows GINA.

Eine GINA wird aktiviert, wenn ein Benutzer die Tastenkombination Strg+Alt+Entf drückt. Mit PLAP öffnet die Tastenkombination Strg+Alt+Entf ein Fenster, in dem der Benutzer sich entweder beim System anmelden oder Netzwerkverbindungen (PLAP-Komponenten) mit der Schaltfläche Netzwerkverbindung in der unteren rechten Ecke des Fensters aktivieren kann.

In den folgenden Abschnitten werden die Einstellungen und Verfahren für VPNGINA und PLAP SBL beschrieben. Eine vollständige Beschreibung der Aktivierung und Verwendung der SBL-Funktion (PLAP) auf einer Windows Vista-Plattform finden Sie unter Configuring Start Before Logon (PLAP) on Windows Vista Systems (Konfigurieren des Startvorgangs vor der Anmeldung).

XML-Einstellungen zum Aktivieren von SBL

Mit dem Elementwert für UseStartBeforeLogon kann diese Funktion aktiviert (true) oder deaktiviert (false) werden. Wenn Sie diesen Wert im Profil auf true festlegen, wird die Verarbeitung im Rahmen der Anmeldesequenz zusätzlich durchgeführt. Weitere Informationen finden Sie in der Beschreibung Start Before Logon (Start vor Anmeldung). Legen Sie den Wert <UseStartBefore Logon> in der Datei CiscoAnyConnect.xml auf true fest, um SBL zu aktivieren:

<?xml version="1.0" encoding="UTF-8" ?> 
<Configuration> 
<ClientInitialization> 
<UseStartBeforeLogon>true</UseStartBeforeLogon> 
</ClientInitialization>

Um SBL zu deaktivieren, legen Sie den gleichen Wert auf false fest.

Um die UserControllable-Funktion zu aktivieren, verwenden Sie diese Anweisung, wenn Sie SBL aktivieren:

<UseStartBeforeLogon userControllable="false">true</UseStartBeforeLogon>

Alle Benutzereinstellungen, die diesem Attribut zugeordnet sind, werden an einer anderen Stelle gespeichert.

SBL aktivieren

Um die Downloadzeit zu minimieren, fordert der AnyConnect-Client nur die Kernmodule an, die er für jede unterstützte Funktion benötigt (von der Security Appliance). Um neue Funktionen wie SBL zu aktivieren, müssen Sie den Modulnamen mit dem Befehl svc modules aus dem Gruppenrichtlinien-WebVPN oder Benutzernamen-WebVPN-Konfigurationsmodus angeben:

[no] svc modules {none | value string}

Der Zeichenfolgenwert für SBL ist vpngina.

In diesem Beispiel wechselt der Netzwerkadministrator in den Gruppenrichtlinienattribut-Modus für Gruppenrichtlinien-Telearbeiter. wechselt in den WebVPN-Konfigurationsmodus für die Gruppenrichtlinie; und gibt die Zeichenfolge VPNGINA an, um SBL zu aktivieren:

hostname(config)# group-policy telecommuters attributes
hostname(config-group-policy)# webvpn
hostame(config-group-webvpn)# svc modules value vpngina

Darüber hinaus muss der Administrator sicherstellen, dass die <UseStartBeforeLogon>-Anweisung in der AnyConnect <profile.xml> -Datei, bei der <profile.xml> der Name ist, den der Netzwerkadministrator der XML-Datei zugewiesen hat, auf true festgelegt ist, z. B.:

UseStartBeforeLogon UserControllable="false">true

Das System muss neu gestartet werden, bevor "Start Before Logon" (Starten vor Anmeldung) wirksam wird. Sie müssen außerdem auf der Sicherheits-Appliance angeben, dass Sie SBL oder andere Module für zusätzliche Funktionen zulassen möchten. Weitere Informationen finden Sie in der Beschreibung im Abschnitt Enabling Modules for Additional AnyConnect Features (Module für zusätzliche AnyConnect-Funktionen aktivieren) auf Seite 2-5 (ASDM) oder Enabling Modules for Additional AnyConnect Features (Module für zusätzliche AnyConnect-Funktionen aktivieren) auf Seite 3-4 (CLI).

Konfiguration vor der Anmeldung mit CLI starten

Dieses Szenario zeigt Ihnen, wie Sie die XML-Datei mit CLI einrichten:

1. Erstellen Sie ein Profil, das auf die Client-PCs heruntergeladen werden soll und ähnlich aussieht:

   <?xml version="1.0" encoding="UTF-8" ?> 
   <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
   xsi :schemaLocation=
      "http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
   <ClientInitialization> 
   <UseStartBeforeLogon>true</UseStartBeforeLogon> 
   </ClientInitialization> 
   <ServerList>
   <HostEntry>
   <HostName>text.cisco.com</HostName>
   </HostEntry>
   <HostEntry>
   <HostName>test1.cisco.com</HostName>
   <HostAddress>1.1.1.1</HostAddress>
   </HostEntry>
   .
   .
   .
   <HostEntry>
   <HostName>test2.cisco.com</HostName>
   <HostAddress>1.1.1.2</HostAddress>
   </HostEntry>
   </ServerList>
   </AnyConnectProfile>

2. Kopieren Sie die Datei in den Flash-Speicher auf der Security Appliance:

   Copy tftp://x.x.x.x/AnyConnectProfile.xml AnyConnectProfile.xml
   

3. Fügen Sie auf der Sicherheits-Appliance das Profil als verfügbares Profil zum globalen WebVPN-Abschnitt hinzu, sofern alle anderen Einstellungen für AnyConnect-Verbindungen korrekt sind:

   hostname(config-group-policy)# webvpn
   hostame(config-group-webvpn)#  
      svc profiles ReallyNewProfile disk0:/AnyConnectProfile.xml
   

4. Bearbeiten Sie die verwendete Gruppenrichtlinie, und fügen Sie die Befehle svc modules und svc profile hinzu:

   hostname(config)# group-policy GroupPolicy internal
   hostname(config)# group-policy GroupPolicy attributes
   hostname(config-group-policy)# webvpn
   hostame(config-group-webvpn)# svc modules value vpngina
   hostame(config-group-webvpn)# svc profiles value ReallyNewProfile
   

Konfiguration vor der Anmeldung mit ASDM starten

Gehen Sie wie folgt vor, um das SBL mit ASDM zu konfigurieren:

1. Erstellen Sie ein Profil, das auf die Client-PCs heruntergeladen werden soll und ähnlich aussieht:

   <?xml version="1.0" encoding="UTF-8" ?> 
   <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
   xsi :schemaLocation=
      "http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
   <ClientInitialization> 
   <UseStartBeforeLogon>true</UseStartBeforeLogon> 
   </ClientInitialization> 
   <ServerList>
   <HostEntry>
   <HostName>text.cisco.com</HostName>
   </HostEntry>
   <HostEntry>
   <HostName>test1.cisco.com</HostName>
   <HostAddress>1.1.1.1</HostAddress>
   </HostEntry>
   .
   .
   .
   <HostEntry>
   <HostName>test2.cisco.com</HostName>
   <HostAddress>1.1.1.2</HostAddress>
   </HostEntry>
   </ServerList>
   </AnyConnectProfile>

2. Speichern Sie das Profil als AnyConnectProfile.xml auf dem lokalen Computer.

3. Starten Sie den ASDM, und gehen Sie zur Startseite.

4. Gehen Sie zu Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Add , und klicken Sie auf Internal Group Policy.

   

5. Geben Sie den Namen der Gruppenrichtlinie ein, z. B. SBL.

   

6. Gehen Sie zu Advanced > SSL VPN Client. Deaktivieren Sie das Kontrollkästchen Inherit (Vererben) im optionalen Client-Modul, das heruntergeladen werden soll, und wählen Sie vpngina aus dem Dropdown-Feld aus.

   

7. Um das Profil AnyConnectProfile.xml vom lokalen Computer auf Flash zu übertragen, gehen Sie zu Extras, und klicken Sie auf Dateiverwaltung.

   

8. Klicken Sie auf die Schaltfläche Dateiübertragung.

   

9. Um das Profil vom lokalen Computer in den ASA-Flash-Speicher zu übertragen, wählen Sie die Quelldatei, den Pfad der XML-Datei (lokaler Computer) und den Pfad der Zieldatei gemäß Ihren Anforderungen aus.

   

10. Klicken Sie nach der Übertragung auf die Schaltfläche Aktualisieren, um zu überprüfen, ob sich die Profildatei im Flash-Speicher befindet.

    

11. Weisen Sie das Profil der internen Gruppenrichtlinie (SBL) zu.

    Folgen Sie diesem Pfad: Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit SBL ( Internal Group Policy ) > Advanced > SSL VPN Client > Client Profile to Download (Netzwerkzugriff (Clientzugriff) > Group Policies > SBL bearbeiten (Interne Gruppenrichtlinie) > Advanced > SSL VPN Client > Client Profile to Download (Erweitert > SSL VPN-Client > Clientprofil zum Herunterladen). Klicken Sie dann auf die Schaltfläche New.

    Klicken Sie unter SSL VPN-Clientprofile hinzufügen auf die Schaltfläche Durchsuchen, um den Speicherort des Profils (AnyConnectProfile.xml) zu wählen, das im ASA Flash-Speicher gespeichert ist. Weisen Sie den Namen für das Profil zu, z. B. SBL. Klicken Sie zum Abschließen auf OK.

    

12. Deaktivieren Sie das Kontrollkästchen Inherit (Vererben), und wählen Sie im Feld Client Profile to Download (Clientprofil für Download) die Option SBL. Klicken Sie auf OK.

    

13. Klicken Sie auf Apply, um den Vorgang abzuschließen.

    

Manifestdatei verwenden

Das AnyConnect-Paket, das auf die Sicherheits-Appliance hochgeladen wird, enthält eine Datei mit dem Namen VPNManifest.xml. Dieses Beispiel zeigt einen Beispielinhalt dieser Datei:

<?xml version="1.0" encoding="UTF-7"?> <vpn rev="1.0"> 
<file version="2.1.0150" id="VPNCore" 
   is_core="yes" type="exe" action="install">
   <uri>binaries/anyconnect-win-2.1.0150-web-deploy-k9.exe</uri>
 </file>
 <file version="2.1.0150" id="gina" 
   is_core="yes" type="exe" action="install" module="vpngina">
   <uri>binaries/anyconnect-gina-win-2.1.0150-web-deploy-k9.exe</uri>
 </file>
</vpn>

Die Sicherheits-Appliance hat auf ihr konfigurierte Profile gespeichert, wie in Schritt 1 erläutert, und sie speichert auch ein oder mehrere AnyConnect-Pakete, die den AnyConnect-Client selbst, das Downloader-Dienstprogramm, die Manifestdatei und andere optionale Module oder Supportdateien enthalten.

Wenn ein Remote-Benutzer über WebLaunch oder einen aktuellen Standalone-Client eine Verbindung zur Sicherheits-Appliance herstellt, wird der Downloader zuerst heruntergeladen und ausgeführt. Anhand der Manifestdatei wird ermittelt, ob ein aktueller Client auf dem Remote-Benutzer-PC aktualisiert werden muss oder eine Neuinstallation erforderlich ist. Die Manifestdatei enthält auch Informationen darüber, ob optionale Module vorhanden sind, die heruntergeladen und installiert werden müssen, in diesem Fall die VPNGINA. Das Client-Profil wird ebenfalls von der Sicherheits-Appliance nach unten verschoben. Die Installation von VPNGINA wird durch den Befehl svc modules value vpngina aktiviert, der im Befehlsmodus group-policy (webvpn) konfiguriert wird, wie in Schritt 4 erläutert. Der AnyConnect-Client und VPNGINA werden installiert, und der Benutzer sieht den AnyConnect-Client beim nächsten Neustart vor der Windows-Domänenanmeldung.

Wenn der Benutzer eine Verbindung herstellt, werden der Client und das Profil an den Benutzer-PC übergeben. der Client und VPNGINA installiert sind; und der Benutzer sieht den AnyConnect-Client beim nächsten Neustart vor der Anmeldung.

Ein Beispielprofil wird auf dem Client-PC bereitgestellt, wenn AnyConnect installiert ist: C:\Documents and Settings\All Benutzer\Anwendung Data\Cisco\Cisco\AnyConnect VPN Client\Profile\AnyConnectProfile.

Fehlerbehebung bei SBL

Gehen Sie folgendermaßen vor, wenn ein Problem mit SBL auftritt:

1. Stellen Sie sicher, dass das Profil verschoben wird.

2. Löschen Sie vorherige Profile. suchen Sie auf der Festplatte nach dem Speicherort: *.xml

3. Verfügen Sie beim Aufrufen der Option Software über eine AnyConnect- und eine AnyConnect VPNGINA-Installation?

4. Deinstallieren Sie den AnyConnect-Client.

5. Löschen Sie das AnyConnect-Protokoll des Benutzers in der Ereignisanzeige, und wiederholen Sie den Test.

6. Kehren Sie zur Sicherheits-Appliance zurück, um den Client neu zu installieren.

7. Stellen Sie sicher, dass das Profil ebenfalls angezeigt wird.

8. Einmal neu starten. Beim nächsten Neustart wird die Eingabeaufforderung Start Before Logon angezeigt.

9. Senden Sie das AnyConnect-Ereignisprotokoll im EVT-Format an Cisco.

10. Wenn dieser Fehler auftritt, löschen Sie das Benutzerprofil, und verwenden Sie das Standardprofil:

    Description: Unable to parse the profile 
    C:\Documents and Settings\All Users\Application Data\Cisco
    \Cisco AnyConnect VPN Client\Profile\VABaseProfile.xml. 
    Host data not available.
    		

Problem 1

Diese Fehlermeldung wird angezeigt, wenn versucht wird, das AnyConnect-Profil hochzuladen: Fehler beim Überprüfen der XML-Datei anhand des neuesten Schemas. Wie wird dieser Fehler behoben?

Lösung 1

Diese Fehlermeldung tritt meistens aufgrund von Syntax- oder Konfigurationsproblemen im AnyConnect-Profil auf. Um dieses Problem zu beheben, stellen Sie sicher, dass das konfigurierte AnyConnect-Profil dem im Abschnitt Beispiel-AnyConnect-Profil und XML-Schema des Cisco AnyConnect VPN Client Administrator Guide vorhandenen Beispiel-AnyConnect-Profil ähnelt.

Zugehörige Informationen

• Administratoranleitung für den Cisco AnyConnect VPN Client, Version 2.0
• Erstellen von Anmeldeskripten - Windows TechNet
• Konfigurieren des Startvorgangs vor der Anmeldung (PLAP) unter Windows Vista
• ASA 8.x VPN-Zugriff mit dem AnyConnect SSL VPN Client - Konfigurationsbeispiel
• Cisco AnyConnect VPN-Client
• Cisco Adaptive Security Appliances der Serie ASA 5500
• Technischer Support und Dokumentation für Cisco Systeme