ASA 8.x : Autoriser les utilisateurs à sélectionner un groupe lors de la connexion WebVPN via Group-Alias et Group-URL Method

Options de téléchargement

  • PDF     (368.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (257.1 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (353.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:10 novembre 2008
ID du document:98580

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Les utilisateurs VPN SSL (AnyConnect/SVC et sans client) peuvent choisir le groupe de tunnels [profil de connexion dans le jargon ASDM (Adaptive Security Device Manager)] auquel ils doivent accéder en utilisant les différentes méthodes suivantes :

  • group-url

  • group-alias (liste déroulante groupe de tunnels sur la page de connexion)

  • certificate-maps, si des certificats sont utilisés

Ce document explique comment configurer l'Adaptive Security Appliance (ASA) pour permettre aux utilisateurs de sélectionner un groupe via un menu déroulant lorsqu'ils se connectent au service WebVPN. Les groupes qui apparaissent dans le menu sont des alias ou des URL de profils de connexion réels (groupes de tunnels) configurés sur l'ASA. Ce document montre comment créer des alias et des URL pour des profils de connexion (groupes de tunnels), puis configurer la liste déroulante pour qu'elle s'affiche. Cette configuration est exécutée à l'aide d'ASDM 6.0(2) sur un ASA exécutant le logiciel version 8.0(2).

Remarque : ASA version 7.2.x prend en charge deux méthodes : group-url et group-alias list.

Remarque : ASA version 8.0.x prend en charge trois méthodes : group-url, group-alias et certificate-maps.

Conditions préalables

Configuration WebVPN de base

Configurer un alias et activer la liste déroulante

Dans cette section, les informations vous sont présentées pour configurer un alias pour un profil de connexion (groupe de tunnels), puis pour configurer ces alias afin qu'ils apparaissent dans le menu déroulant Groupe de la page de connexion WebVPN.

ASDM

Complétez ces étapes afin de configurer un alias pour un profil de connexion (groupe de tunnels) dans l'ASDM. Répétez cette opération pour chaque groupe pour lequel vous souhaitez configurer un alias.

  1. Choisissez Configuration > Clientless SSL VPN Access > Connection Profiles.

  2. Sélectionnez un profil de connexion et cliquez sur Edit.

  3. Saisissez un alias dans le champ Alias.

    enable-group-dropdown-1.gif

  4. Cliquez sur OK et appliquez la modification.

  5. Dans la fenêtre Profils de connexion, cochez la case Autoriser l'utilisateur à sélectionner la connexion, identifiée par l'alias dans le tableau ci-dessus, à la page de connexion.

    enable-group-dropdown-2.gif

CLI 

Utilisez ces commandes sur la ligne de commande pour configurer un alias pour un profil de connexion (groupe de tunnels) et activer la liste déroulante Groupe de tunnels. Répétez cette opération pour chaque groupe pour lequel vous souhaitez configurer un alias.

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Configurer une URL et activer la liste déroulante

Dans cette section, les informations vous sont présentées pour configurer une URL pour un profil de connexion (groupe de tunnels), puis pour configurer ces URL afin qu'elles apparaissent dans le menu déroulant Groupe de la page de connexion WebVPN. L'un des avantages de l'utilisation de group-url par rapport à group-alias (liste déroulante des groupes) est que vous n'exposez pas les noms de groupe comme le fait cette dernière méthode.

ASDM

Deux méthodes sont utilisées pour spécifier l'URL de groupe dans ASDM :

  • Méthode de profil - entièrement opérationnelle

    Modifiez le profil AC et le champ <HostAddress>.

    Sous Windows 2000/XP, le fichier de profil par défaut (par exemple, CiscoAnyConnectProfile.xml) se trouve dans le répertoire : C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect VPN Client\Profile.

    L'emplacement de Vista est légèrement différent : C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\Profile.

  • Entrez la chaîne de l'URL du groupe dans le champ Connect To.

    Trois formats de chaînes d'URL de groupe sont pris en charge :

    • https://asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com (domaine uniquement, pas de chemin)

Complétez ces étapes afin de configurer une URL pour un profil de connexion (groupe de tunnels) dans l'ASDM. Répétez cette opération pour chaque groupe pour lequel vous souhaitez configurer une URL.

  1. Choisissez Configuration > Clientless SSL VPN Access > Connection Profiles>Advanced>Clientless SSL VPN panel.

  2. Sélectionnez un profil de connexion et cliquez sur Edit.

  3. Saisissez une URL dans le champ URL du groupe.

    enable-group-dropdown-4.gif

  4. Cliquez sur OK et appliquez la modification.

CLI 

Utilisez ces commandes sur la ligne de commande pour configurer une URL pour un profil de connexion (groupe de tunnels) et activer la liste déroulante Groupe de tunnels. Répétez cette opération pour chaque groupe pour lequel vous souhaitez configurer une URL.

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Q et A

Question :

Comment configurez-vous l'URL de groupe si la passerelle VPN ASA est derrière un périphérique NAT ?

Réponse :

L'hôte/l'URL que l'utilisateur entre sera utilisé pour le mappage de groupe. Par conséquent, vous devez utiliser l'adresse NAT, et non l'adresse réelle sur l'interface externe de l'ASA. La meilleure alternative consiste à utiliser le nom de domaine complet au lieu de l'adresse IP pour le mappage d'URL de groupe.

Tous les mappages sont mis en oeuvre au niveau du protocole HTTP (en fonction des informations envoyées par le navigateur) et une URL est composée pour mapper les informations des en-têtes HTTP entrants. Le nom d'hôte ou l'adresse IP provient de l'en-tête d'hôte et le reste de l'URL de la ligne de requête HTTP. Cela signifie que l'hôte/l'URL saisi par l'utilisateur sera utilisé pour le mappage de groupe.

Vérifier

Accédez à la page de connexion WebVPN de l'ASA pour vérifier que la liste déroulante est activée et que les alias apparaissent.

enable-group-dropdown-3.gif

Accédez à la page de connexion WebVPN de l'ASA pour vérifier que la liste déroulante est activée et que l'URL apparaît.

enable-group-dropdown-5.gif

Dépannage

  • Si la liste déroulante n'apparaît pas, vérifiez que vous l'avez activée et que les alias sont configurés. Les utilisateurs font souvent l'une de ces choses, mais pas l'autre.

  • Assurez-vous que vous vous connectez à l'URL de base de l'ASA. La liste déroulante n'apparaît pas si vous vous connectez à l'ASA à l'aide d'une url de groupe, car l'objectif de l'url de groupe est d'effectuer la sélection de groupe.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
17-Aug-2007
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits