ASA 8.x: Sta gebruikers toe om een groep te selecteren bij WebVPN Login via Group-Alias en Group-URL Methode

Downloadopties

  • PDF     (369.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (255.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (351.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:10 november 2008
Document-id:98580

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

SSL VPN-gebruikers (zowel AnyConnect/SVC als Clientless) kunnen kiezen welke tunnelgroep [Connection Profile in Adaptive Security Device Manager (ASDM) lingo] toegang kan krijgen via deze verschillende methoden:

  • groeps-URL

  • groep-alias (vervolgkeuzelijst tunnelgroep op inlogpagina)

  • certificaten, indien certificaten worden gebruikt

Dit document toont aan hoe u de adaptieve security applicatie (ASA) moet configureren, zodat gebruikers een groep kunnen selecteren via een vervolgkeuzemenu wanneer ze inloggen op de WebVPN-service. De groepen in het menu zijn aliassen of URL's van echte verbindingsprofielen (tunnelgroepen) die op de ASA zijn geconfigureerd. Dit document laat zien hoe u aliassen en URL's kunt maken voor verbindingsprofielen (tunnelgroepen) en vervolgens de vervolgkeuzelijst kunt configureren om te worden weergegeven. Deze configuratie wordt uitgevoerd met ASDM 6.0(2) op een ASA lopende softwareversie 8.0(2).

Opmerking: ASA versie 7.2.x ondersteunt twee methoden: group-url en group-alias.

Opmerking: ASA versie 8.0.x ondersteunt drie methoden: group-url, group-alias en certificate-maps.

Voorwaarden

Basis Web VPN-configuratie

Een alias configureren en de vervolgkeuzelijst inschakelen

In deze sectie, wordt u voorgesteld met de informatie om een alias voor een verbindingsprofiel (tunnelgroep) te vormen en dan die aliassen te vormen om in het vervolgkeuzemenu van de Groep op de WebVPN login pagina te verschijnen.

ASDM

Voltooi deze stappen om een alias te configureren voor een verbindingsprofiel (tunnelgroep) in de ASDM. Herhaal dit zo nodig voor elke groep waarvoor u een alias wilt configureren.

  1. Kies Configuratie > Clientloze SSL VPN-toegang > Verbindingsprofielen.

  2. Selecteer een verbindingsprofiel en klik op Bewerken.

  3. Voer in het veld Aliassen een alias in.

    enable-group-dropdown-1.gif

  4. Klik op OK en pas de wijziging toe.

  5. Selecteer in het venster Verbindingsprofielen de optie Gebruiker toestaan om verbinding, geïdentificeerd door alias in de bovenstaande tabel, te selecteren op de inlogpagina.

    enable-group-dropdown-2.gif

CLI

Gebruik deze opdrachten op de opdrachtregel om een alias voor een verbindingsprofiel (tunnelgroep) te configureren en de vervolgkeuzelijst voor de tunnelgroep in te schakelen. Herhaal dit zo nodig voor elke groep waarvoor u een alias wilt configureren.

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Een URL configureren en de vervolgkeuzelijst inschakelen

In deze sectie, wordt u voorgesteld met de informatie om een URL voor een verbindingsprofiel (tunnelgroep) te vormen en dan die URLs te vormen om in het vervolgkeuzemenu van de Groep op de WebVPN login pagina te verschijnen. Een voordeel van het gebruik van group-url over group-alias (group drop-down) is dat u de groepsnamen niet blootstelt zoals de laatste methode.

ASDM

Er zijn twee methoden die worden gebruikt om de groep-URL in ASDM te specificeren:

  • Profielmethode - volledig operationeel

    Bewerk het AC-profiel en wijzig het veld <HostAddress>.

    Op Windows 2000/XP bevindt het standaardprofielbestand (bijvoorbeeld Cisco AnyConnectProfile.xml) zich in de directory: C:\Documents and Settings\All Gebruikers\Application Data\Cisco\Cisco AnyConnect VPN Client\Profile.

    De locatie voor Vista is iets anders: C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\Profile.

  • Voer in het veld Verbinden met de groep de URL-string in.

    Drie formaten van groep-URL-strings worden ondersteund:

    • https://asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com (alleen domein, geen pad)

Voltooi deze stappen om een URL voor een verbindingsprofiel (tunnelgroep) in de ASDM te configureren. Herhaal dit zo nodig voor elke groep waarvoor u een URL wilt configureren.

  1. Kies Configuratie > Clientless SSL VPN Access > Verbindingsprofielen>Geavanceerd>Clientless SSL VPN paneel.

  2. Selecteer een verbindingsprofiel en klik op Bewerken.

  3. Voer een URL in het veld URL's van de groep in.

    enable-group-dropdown-4.gif

  4. Klik op OK en pas de wijziging toe.

CLI

Gebruik deze opdrachten op de opdrachtregel om een URL voor een verbindingsprofiel (tunnelgroep) te configureren en de vervolgkeuzelijst voor de tunnelgroep in te schakelen. Herhaal dit zo nodig voor elke groep waarvoor u een URL wilt configureren.

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Q en A

Vraag:

Hoe vormt u de groep-url als de ASA VPN-gateway zich achter een NAT-apparaat bevindt?

Antwoord:

De host/URL die de gebruiker invoert, wordt gebruikt voor de groepstoewijzing. Daarom moet u het NAT-adres gebruiken, niet het eigenlijke adres op de buiteninterface van de ASA. Het beste alternatief is FQDN te gebruiken in plaats van IP-adres voor groep-url-mapping.

Alle mapping wordt op HTTP-protocolniveau geïmplementeerd (op basis van informatie die de browser verstuurt) en een URL is samengesteld om informatie in inkomende HTTP-headers in kaart te brengen. De hostnaam of IP wordt genomen uit de host-header en de rest van de URL van de HTTP-aanvraagregel. Dit betekent dat de host/URL die de gebruiker invoert gebruikt zal worden voor de groepstoewijzing.

Verifiëren

Navigeer naar de WebVPN-inlogpagina van de ASA om te verifiëren dat de vervolgkeuzelijst is ingeschakeld en dat de aliassen worden weergegeven.

enable-group-dropdown-3.gif

Navigeer naar de WebVPN-inlogpagina van de ASA om te verifiëren dat de vervolgkeuzelijst is ingeschakeld en dat de URL verschijnt.

enable-group-dropdown-5.gif

Problemen oplossen

  • Als de vervolgkeuzelijst niet wordt weergegeven, controleert u of u deze hebt ingeschakeld en of de aliassen zijn geconfigureerd. Gebruikers doen vaak één van deze dingen, maar niet de andere.

  • Zorg ervoor dat u verbinding maakt met de basis-URL van de ASA. De vervolgkeuzelijst verschijnt niet als u verbinding maakt met de ASA met behulp van een groep-url, aangezien de groep-url als doel heeft de groepsselectie uit te voeren.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
17-Aug-2007
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten