Ejemplo de Configuración de ASA con WebVPN y Single Sign-on con ASDM y NTLMv1

Opciones de descarga

PDF (644.9 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (587.1 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (1.3 MB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:24 de mayo de 2006

ID del documento:70037

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

Prerequisites

Requirements

Componentes Utilizados

Convenciones

Configurar

Agregar un servidor AAA para la autenticación de dominio de Windows

Crear un certificado autofirmado

Activar WebVPN en la interfaz externa

Configurar una lista de URL para los servidores internos

Configurar una directiva de grupo interna

Configuración de un Grupo de Túnel

Configuración del inicio de sesión automático para un servidor

Configuración final de ASA

Verificación

Probar una conexión WebVPN

Supervisar sesiones

Depurar una sesión WebVPN

Troubleshoot

Información Relacionada

Introducción

Este documento describe cómo configurar Cisco Adaptive Security Appliance (ASA) para pasar automáticamente credenciales de login de usuario WebVPN, así como la autenticación secundaria, a los servidores que requieren validación de login adicional respecto a Windows Active Directory que ejecuta NT LAN Manager versión 1 (NTLMv1). Esta función se conoce como Inicio único de sesión (SSO). Proporciona a los links configurados para un grupo WebVPN específico la capacidad de pasar esta información de autenticación de usuarios, eliminando así las indicaciones de autenticación múltiples. Esta función también se puede utilizar en el nivel global o en el nivel de configuración de usuarios.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

Asegúrese de que se han configurado los permisos NTLMv1 y de Windows para los usuarios de VPN de destino. Consulte la documentación de Microsoft para obtener más información acerca de los derechos de acceso a dominios de Windows.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Cisco ASA 7.1(1)
Cisco Adaptive Security Device Manager (ASDM) 5.1(2)
Servicios de Microsoft Internet Information Server (IIS)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección, se le presenta la información para configurar el ASA como un servidor WebVPN con SSO.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Agregar un servidor AAA para la autenticación de dominio de Windows

Complete estos pasos para configurar el ASA para utilizar un controlador de dominio para la autenticación.

Seleccione Configuration > Properties > AAA Setup > AAA Servers y haga clic en Add. Proporcione un nombre para el grupo de servidores, como Windows_NT, y elija NT Domain como protocolo.
Agregue un servidor Windows.

Seleccione el grupo recién creado y haga clic en Agregar. Seleccione la interfaz en la que se encuentra el servidor e introduzca la dirección IP y el nombre del controlador de dominio. Asegúrese de que el nombre del controlador de dominio se introduzca en mayúsculas. Haga clic en Aceptar cuando haya terminado.

Esta ventana muestra la configuración AAA completada:

Crear un certificado autofirmado

Complete estos pasos para configurar el ASA para utilizar un certificado autofirmado.

Nota: En este ejemplo, se utiliza un certificado autofirmado para simplificar. Para ver otras opciones de inscripción de certificados, como la inscripción con una autoridad de certificación externa, consulte Configuración de certificados.

Seleccione Configuration > Properties > Certificate > Trustpoint > Configuration y haga clic en Add.
En la ventana que aparece, ingrese un nombre de punto de confianza como Local-TP y marque Generar un certificado autofirmado al inscribirse. Otras opciones se pueden dejar con su configuración predeterminada. Haga clic en Aceptar cuando haya terminado.

Esta ventana muestra la configuración de Trustpoint completada:

Activar WebVPN en la interfaz externa

Complete estos pasos para permitir que los usuarios externos a su red se conecten mediante WebVPN.

Seleccione Configuration > VPN > WebVPN > WebVPN Access.
Seleccione la interfaz deseada, haga clic en Enable y marque Enable Tunnel Group Drop-down List on WebVPN Login Page.

Nota: Si se utiliza la misma interfaz para el acceso WebVPN y ASDM, debe cambiar el puerto predeterminado para el acceso ASDM del puerto 80 a un nuevo puerto como 8080. Esto se hace en Configuration > Properties > Device Access > HTTPS/ASDM.

Nota: Puede redirigir automáticamente un usuario al puerto 443 en el caso de que un usuario navegue a http://<ip_address> en lugar de a https://<ip_address>. Seleccione Configuration > Properties > HTTP/HTTPS, elija la interfaz deseada, haga clic en Edit y seleccione Redirect HTTP to HTTPS.

Configurar una lista de URL para los servidores internos

Complete estos pasos para crear una lista que contenga los servidores para los que desea otorgar acceso a sus usuarios WebVPN.

Seleccione Configuration > VPN > WebVPN > Servers and URLs y haga clic en Add.
Introduzca un nombre para la lista de direcciones URL. Este nombre no está visible para los usuarios finales. Haga clic en Add (Agregar).
Introduzca el nombre para mostrar de la URL tal y como se mostrará a los usuarios. Introduzca la información de URL del servidor. Debe ser así como se accede normalmente al servidor.
Haga clic en Aceptar, Aceptar y, a continuación, en Aplicar.

Configurar una directiva de grupo interna

Complete estos pasos para configurar una política de grupo para sus usuarios WebVPN.

Seleccione Configuration > VPN > General > Group Policy, haga clic en Add y seleccione Internal Group Policy.
En la ficha General, especifique un nombre de directiva, como Internal-Group_POL_WEBVPN. Luego desmarque Heredar junto a Tunneling Protocols y marque WebVPN.
En la pestaña WebVPN, seleccione la subpestaña Other. Desmarque Heredar junto a Servidores y Listas de URL y seleccione la Lista de URL que configuró en la lista desplegable. Haga clic en Aceptar cuando haya terminado.

Configuración de un Grupo de Túnel

Complete estos pasos para configurar un Grupo de Túnel para sus usuarios WebVPN.

Seleccione Configuration > VPN > General > Tunnel Group, haga clic en Add y seleccione WebVPN Access...
Introduzca un nombre para el grupo de túnel, como WEB_VPN-GRP. En la ficha Básico, seleccione la directiva de grupo que ha creado y compruebe que el tipo de grupo es webvpn.
Vaya a la ficha AAA.

Para Authentication Server Group, elija el grupo que configuró para habilitar la autenticación NTLMv1 con su controlador de dominio.

Opcional: Marque Usar LOCAL si el grupo de servidores falla para habilitar el uso de la base de datos de usuario LOCAL en caso de que el grupo AAA configurado falle. Esto puede ayudarle a solucionar problemas en otro momento.
Vaya a la ficha WebVPN y, a continuación, vaya a la subficha Group Aliases and URLs.
Introduzca un alias en Alias de grupo y haga clic en Agregar. Este alias aparece en la lista desplegable presentada a los usuarios de WebVPN al iniciar sesión.
Haga clic en OK y en Apply.

Configuración del inicio de sesión automático para un servidor

Cambie a la línea de comandos para activar SSO para los servidores internos.

Nota: Este paso no se puede completar en el ASDM y se debe realizar usando la línea de comandos. Consulte Acceso a la Interfaz de Línea de Comandos para obtener más información.

Utilice el comando auto-sign para especificar el recurso de red, como un servidor, al que desea otorgar acceso a los usuarios. Aquí se configura una dirección IP de servidor único, pero también se puede especificar un rango de red como 10.1.1.0 /24. Consulte el comando auto-sign para obtener más información.

ASA>enable
ASA#configure terminal
ASA(config)#webvpn
ASA(config-webpvn)#auto-signon allow ip 10.1.1.200 255.255.255.255 auth-type ntlm
ASA(config-webvpn)#quit
ASA(config)#exit
ASA#write memory

En esta salida de ejemplo, el comando auto-sign se configura para WebVPN globalmente. Este comando también se puede utilizar en el modo de configuración de grupo de WebVPN o en el modo de configuración de nombre de usuario de WebVPN. El uso de este comando en el modo de configuración del grupo WebVPN lo limita a un grupo determinado. Del mismo modo, el uso de este comando en el modo de configuración de nombre de usuario de WebVPN lo limita a un usuario individual. Consulte el comando auto-sign para obtener más información.

Configuración final de ASA

Este documento usa esta configuración:

ASA versión 7.1(1)
ASA# show running-config : Saved : ASA Version 7.1(1) ! terminal width 200 hostname ASA domain-name cisco.com enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface GigabitEthernet0/0 nameif outside security-level 0 ip address 172.16.171.51 255.255.255.0 ! interface GigabitEthernet0/1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name cisco.com pager lines 24 mtu inside 1500 mtu outside 1500 no failover asdm image disk0:/asdm512.bin no asdm history enable arp timeout 14400 route outside 0.0.0.0 0.0.0.0 172.16.171.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute !--- AAA server configuration aaa-server Windows_NT protocol nt aaa-server Windows_NT host 10.1.1.200 nt-auth-domain-controller ESC-SJ-7800 !--- Internal group policy configuration group-policy Internal-GRP_POL_WEBVPN internal group-policy Internal-GRP_POL_WEBVPN attributes vpn-tunnel-protocol webvpn webvpn url-list value webserver username cisco password Q/odgwmtmVIw4Dcm encrypted privilege 15 aaa authentication http console LOCAL aaa authentication ssh console LOCAL aaa authentication enable console LOCAL http server enable 8181 http 0.0.0.0 0.0.0.0 outside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart !--- Trustpoint/certificate configuration crypto ca trustpoint Local-TP enrollment self crl configure crypto ca certificate chain Local-TP certificate 31 308201b0 30820119 a0030201 02020131 300d0609 2a864886 f70d0101 04050030 1e311c30 1a06092a 864886f7 0d010902 160d4153 412e6369 73636f2e 636f6d30 1e170d30 36303333 30313334 3930345a 170d3136 30333237 31333439 30345a30 1e311c30 1a06092a 864886f7 0d010902 160d4153 412e6369 73636f2e 636f6d30 819f300d 06092a86 4886f70d 01010105 0003818d 00308189 02818100 e47a29cd 56becf8d 99d6d919 47892f5a 1b8fc5c0 c7d01ea6 58f3bec4 a60b2025 03748d5b 1226b434 561e5507 5b45f30e 9d65a03f 30add0b5 81f6801a 766c9404 9cabcbde 44b221f9 b6d6dc18 496fe5bb 4983927f adabfb17 68b4d22c cddfa6c3 d8802efc ec3af7c7 749f0aa2 3ea2c7e3 776d6d1d 6ce5f748 e4cda3b7 4f007d4f 02030100 01300d06 092a8648 86f70d01 01040500 03818100 c6f87c61 534bb544 59746bdb 4e01680f 06a88a15 e3ed8929 19c6c522 05ec273d 3e37f540 f433fb38 7f75928e 1b1b6300 940b8dff 69eac16b af551d7f 286bc79c e6944e21 49bf15f3 c4ec82d8 8811b6de 775b0c57 e60a2700 fd6acc16 a77abee6 34cb0cad 81dfaf5a f544258d cc74fe2d 4c298076 294f843a edda3a0a 6e7f5b3c quit !--- Tunnel group configuration tunnel-group WEB_VPN-GRP type webvpn tunnel-group WEB_VPN-GRP general-attributes authentication-server-group Windows_NT default-group-policy Internal-GRP_POL_WEBVPN tunnel-group WEB_VPN-GRP webvpn-attributes group-alias Group-Selection enable telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global !--- WebVPN Configuration webvpn enable outside url-list webserver "Internal Server" https://10.1.1.200 1 tunnel-group-list enable auto-signon allow ip 10.1.1.200 255.255.255.255 auth-type ntlm Cryptochecksum:c80ac5f6232df50fc1ecc915512c3cd6 : end

ASA versión 7.1(1)

ASA# show running-config 
: Saved
:
ASA Version 7.1(1) 
!
terminal width 200
hostname ASA
domain-name cisco.com
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 172.16.171.51 255.255.255.0 
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!             
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
asdm image disk0:/asdm512.bin
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 172.16.171.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- AAA server configuration

aaa-server Windows_NT protocol nt
aaa-server Windows_NT host 10.1.1.200
 nt-auth-domain-controller ESC-SJ-7800


!--- Internal group policy configuration

group-policy Internal-GRP_POL_WEBVPN internal
group-policy Internal-GRP_POL_WEBVPN attributes
 vpn-tunnel-protocol webvpn
 webvpn
  url-list value webserver
username cisco password Q/odgwmtmVIw4Dcm encrypted privilege 15
aaa authentication http console LOCAL 
aaa authentication ssh console LOCAL 
aaa authentication enable console LOCAL 
http server enable 8181
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart


!--- Trustpoint/certificate configuration

crypto ca trustpoint Local-TP
 enrollment self
 crl configure
crypto ca certificate chain Local-TP
 certificate 31
    308201b0 30820119 a0030201 02020131 300d0609 2a864886 f70d0101 04050030 
    1e311c30 1a06092a 864886f7 0d010902 160d4153 412e6369 73636f2e 636f6d30 
    1e170d30 36303333 30313334 3930345a 170d3136 30333237 31333439 30345a30 
    1e311c30 1a06092a 864886f7 0d010902 160d4153 412e6369 73636f2e 636f6d30 
    819f300d 06092a86 4886f70d 01010105 0003818d 00308189 02818100 e47a29cd 
    56becf8d 99d6d919 47892f5a 1b8fc5c0 c7d01ea6 58f3bec4 a60b2025 03748d5b 
    1226b434 561e5507 5b45f30e 9d65a03f 30add0b5 81f6801a 766c9404 9cabcbde 
    44b221f9 b6d6dc18 496fe5bb 4983927f adabfb17 68b4d22c cddfa6c3 d8802efc 
    ec3af7c7 749f0aa2 3ea2c7e3 776d6d1d 6ce5f748 e4cda3b7 4f007d4f 02030100 
    01300d06 092a8648 86f70d01 01040500 03818100 c6f87c61 534bb544 59746bdb 
    4e01680f 06a88a15 e3ed8929 19c6c522 05ec273d 3e37f540 f433fb38 7f75928e 
    1b1b6300 940b8dff 69eac16b af551d7f 286bc79c e6944e21 49bf15f3 c4ec82d8 
    8811b6de 775b0c57 e60a2700 fd6acc16 a77abee6 34cb0cad 81dfaf5a f544258d 
    cc74fe2d 4c298076 294f843a edda3a0a 6e7f5b3c
  quit


!--- Tunnel group configuration

tunnel-group WEB_VPN-GRP type webvpn
tunnel-group WEB_VPN-GRP general-attributes
 authentication-server-group Windows_NT
 default-group-policy Internal-GRP_POL_WEBVPN
tunnel-group WEB_VPN-GRP webvpn-attributes
 group-alias Group-Selection enable
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global


!--- WebVPN Configuration

webvpn
 enable outside
 url-list webserver "Internal Server" https://10.1.1.200 1
 tunnel-group-list enable
 auto-signon allow ip 10.1.1.200 255.255.255.255 auth-type ntlm
Cryptochecksum:c80ac5f6232df50fc1ecc915512c3cd6
: end

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Probar una conexión WebVPN

Inicie sesión como usuario para probar la configuración.

Intente iniciar sesión en ASA con la información de usuario de su dominio NT. Seleccione el alias del grupo configurado en el paso 5 en Configure a Tunnel Group.
Busque el enlace o los enlaces configurados con los servidores internos. Haga clic en el enlace para verificarlo.

Supervisar sesiones

Seleccione Monitoring > VPN > VPN Statistics > Sessions y busque una sesión WebVPN que pertenezca al grupo configurado en este documento.

Depurar una sesión WebVPN

Este resultado es un ejemplo de depuración de una sesión WebVPN exitosa.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

ASA#debug webvpn 255
INFO: debug webvpn enabled at level 255
ASA# 
ASA# webvpn_portal.c:ewaFormServe_webvpn_login[1570]
webvpn_portal.c:http_webvpn_kill_cookie[385]
webvpn_auth.c:webvpn_auth[286]
WebVPN: no cookie present!!
webvpn_portal.c:ewaFormSubmit_webvpn_login[1640]
webvpn_portal.c:http_webvpn_kill_cookie[385]
webvpn_auth.c:http_webvpn_pre_authentication[1782]

!--- Begin AAA
WebVPN: calling AAA with ewsContext (78986968) and nh (78960800)!
WebVPN: started user authentication...
webvpn_auth.c:webvpn_aaa_callback[3422]
WebVPN: AAA status = (ACCEPT)
webvpn_portal.c:ewaFormSubmit_webvpn_login[1640]
webvpn_auth.c:http_webvpn_post_authentication[1095]
WebVPN: user: (test) authenticated.

!--- End AAA
webvpn_auth.c:http_webvpn_auth_accept[2093]
webvpn_session.c:http_webvpn_create_session[159]
webvpn_session.c:http_webvpn_find_session[136]
WebVPN session created!
webvpn_session.c:http_webvpn_find_session[136]
webvpn_db.c:webvpn_get_server_db_first[161]
webvpn_db.c:webvpn_get_server_db_next[202]
traversing list: (webserver)
webvpn_portal.c:ewaFormServe_webvpn_cookie[1421]
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.

!--- Output supressed
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]

Troubleshoot

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Si el cuadro desplegable Group no está presente en la página de login de WebVPN, asegúrese de haber completado el paso 2 en Enable WebVPN on the Outside Interface y el paso 5 en Configure a Tunnel Group. Si estos pasos no se completan y falta la lista desplegable, la autenticación se incluye en el grupo predeterminado y es probable que falle.
Aunque no puede asignar derechos de acceso al usuario en ASDM o en ASA, puede restringir los usuarios con derechos de acceso de Microsoft Windows en su controlador de dominio. Agregue los permisos de grupo de NT necesarios para la página web en la que se autentica el usuario. Una vez que el usuario inicia sesión en WebVPN con los permisos del grupo, se concede o deniega el acceso a las páginas especificadas en consecuencia. ASA sólo actúa como host de autenticación de proxy en nombre del controlador de dominio y todas las comunicaciones aquí son NTLMv1.
No puede configurar SSO para Sharepoint a través de WebVPN porque Sharepoint Server no admite la autenticación basada en formularios. Como resultado, los marcadores con post o el procedimiento de plugin post no es aplicable aquí.