ASA 8.x: 사용자가 Group-Alias 및 Group-URL 방법을 통해 WebVPN 로그인에서 그룹을 선택할 수 있도록 허용

다운로드 옵션

  • PDF     (399.9 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (250.0 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (345.5 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2008년 11월 10일
문서 ID:98580

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

SSL VPN 사용자(AnyConnect/SVC 및 클라이언트리스 모두)는 다음과 같은 여러 방법을 사용하여 액세스할 터널 그룹[ASDM(Adaptive Security Device Manager)의 연결 프로파일] 링크를 선택할 수 있습니다.

  • 그룹 URL

  • group-alias(로그인 페이지의 터널 그룹 드롭다운 목록)

  • 인증서 맵(인증서를 사용하는 경우)

이 문서에서는 사용자가 WebVPN 서비스에 로그인할 때 드롭다운 메뉴를 통해 그룹을 선택할 수 있도록 ASA(Adaptive Security Appliance)를 구성하는 방법을 보여 줍니다. 메뉴에 표시되는 그룹은 ASA에 구성된 실제 연결 프로파일(터널 그룹)의 별칭 또는 URL입니다. 이 문서에서는 연결 프로파일(터널 그룹)에 대한 별칭 및 URL을 만든 다음 드롭다운이 표시되도록 구성하는 방법을 설명합니다. 이 컨피그레이션은 소프트웨어 버전 8.0(2)을 실행하는 ASA에서 ASDM 6.0(2)을 사용하여 수행됩니다.

참고: ASA 버전 7.2.x에서는 group-url 및 group-alias list라는 두 가지 방법을 지원합니다.

참고: ASA 버전 8.0.x에서는 group-url, group-alias 및 certificate-maps의 세 가지 방법을 지원합니다.

사전 요구 사항

기본 WebVPN 컨피그레이션

별칭 구성 및 드롭다운 활성화

이 섹션에서는 연결 프로파일(터널 그룹)에 대한 별칭을 구성한 다음 WebVPN 로그인 페이지의 Group(그룹) 드롭다운 메뉴에 나타나도록 이러한 별칭을 구성하는 정보를 제공합니다.

ASDM

ASDM에서 연결 프로파일(터널 그룹)에 대한 별칭을 구성하려면 다음 단계를 완료합니다. 별칭을 구성하려는 각 그룹에 대해 필요에 따라 반복합니다.

  1. Configuration(컨피그레이션) > Clientless SSL VPN Access(클라이언트리스 SSL VPN 액세스) > Connection Profiles(연결 프로파일) 선택합니다.

  2. 연결 프로파일을 선택하고 Edit를 클릭합니다.

  3. 별칭 필드에 별칭을 입력합니다.

    enable-group-dropdown-1.gif

  4. OK(확인)를 클릭하고 변경 사항을 적용합니다.

  5. Connection Profiles(연결 프로파일) 창에서 Allow user to select connection, identified by alias above(위의 테이블에서 별칭으로 식별된 연결 선택 허용)을 로그인 페이지에서 선택합니다.

    enable-group-dropdown-2.gif

CLI

명령줄에서 이 명령을 사용하여 연결 프로파일(터널 그룹)에 대한 별칭을 구성하고 터널 그룹 드롭다운을 활성화할 수 있습니다. 별칭을 구성하려는 각 그룹에 대해 필요에 따라 반복합니다.

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

URL 구성 및 드롭다운 활성화

이 섹션에서는 연결 프로파일(터널 그룹)에 대한 URL을 구성한 다음 WebVPN 로그인 페이지의 Group(그룹) 드롭다운 메뉴에 나타나도록 해당 URL을 구성하는 정보를 제공합니다. group-alias에 group-url을 사용하는 경우(group 드롭다운) 후자의 방법처럼 그룹 이름을 노출하지 않는다는 장점이 있습니다.

ASDM

ASDM에서 Group-URL을 지정하는 데 사용되는 두 가지 방법이 있습니다.

  • 프로파일 방법 - 완전 작동

    AC 프로필을 수정하고 <HostAddress> 필드를 수정합니다.

    Windows 2000/XP에서 기본 프로파일 파일(예: CiscoAnyConnectProfile.xml)은 C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect VPN Client\Profile 디렉터리에 있습니다.

    Vista 위치는 약간 다릅니다. C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\Profile.

  • Connect To(연결 대상) 필드에 그룹 URL 문자열을 입력합니다.

    그룹 URL 문자열의 세 가지 형식이 지원됩니다.

    • https://asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com/Employees

    • asa-vpn1.companyA.com(도메인 전용, 경로 없음)

ASDM에서 연결 프로파일(터널 그룹)에 대한 URL을 구성하려면 다음 단계를 완료합니다. URL을 구성하려는 각 그룹에 대해 필요한 만큼 반복합니다.

  1. Configuration(구성) > Clientless SSL VPN Access(클라이언트리스 SSL VPN 액세스) > Connection Profiles(연결 프로파일) > Advanced(고급) > Clientless SSL VPN panel(클라이언트리스 SSL VPN 패널)을 선택합니다.

  2. 연결 프로파일을 선택하고 Edit를 클릭합니다.

  3. Group URLs(그룹 URL) 필드에 URL을 입력합니다.

    enable-group-dropdown-4.gif

  4. OK(확인)를 클릭하고 변경 사항을 적용합니다.

CLI

명령줄에서 이 명령을 사용하여 연결 프로파일(터널 그룹)에 대한 URL을 구성하고 터널 그룹 드롭다운을 활성화합니다. URL을 구성하려는 각 그룹에 대해 필요한 만큼 반복합니다.

ciscoasa#configure terminal

ciscoasa(config)#tunnel-group Trusted-Employees type remote-access

ciscoasa(config)#tunnel-group Trusted-Employees general-attributes

ciscoasa(config)#authentication-server-group (inside) LDAP-AD11

ciscoasa(config)#accounting-server-group RadiusACS12

ciscoasa(config)#default-group-policy Employees

ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes

ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable 
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

Q&A

질문:

ASA VPN 게이트웨이가 NAT 디바이스 뒤에 있는 경우 그룹 URL을 어떻게 구성합니까?

답변:

사용자가 입력하는 호스트/URL이 그룹 매핑에 사용됩니다. 따라서 ASA 외부 인터페이스의 실제 주소가 아니라 NAT 주소를 사용해야 합니다. 가장 좋은 대안은 그룹 URL 매핑에 IP 주소 대신 FQDN을 사용하는 것입니다.

모든 매핑은 HTTP 프로토콜 레벨(브라우저가 보내는 정보를 기반으로 함)에서 구현되며 URL은 수신 HTTP 헤더의 정보에서 매핑하도록 구성됩니다. 호스트 이름 또는 IP는 호스트 헤더에서 가져오고 나머지 URL은 HTTP 요청 라인에서 가져옵니다. 사용자가 입력하는 호스트/URL이 그룹 매핑에 사용됨을 의미합니다.

다음을 확인합니다.

ASA의 WebVPN 로그인 페이지로 이동하여 드롭다운이 활성화되고 별칭이 표시되는지 확인합니다.

enable-group-dropdown-3.gif

ASA의 WebVPN 로그인 페이지로 이동하여 드롭다운이 활성화되고 URL이 표시되는지 확인합니다.

enable-group-dropdown-5.gif

문제 해결

  • 드롭다운 목록이 나타나지 않을 경우 이를 활성화했는지 그리고 별칭이 구성되었는지 확인하십시오. 사용자는 이러한 작업 중 하나를 수행하지만 다른 작업은 수행하지 않는 경우가 많습니다.

  • ASA의 기본 URL에 연결해야 합니다. group-url을 사용하여 ASA에 연결하면 드롭다운 목록이 나타나지 않습니다. group-url의 목적은 그룹 선택을 수행하는 것이기 때문입니다.

관련 정보

개정 이력

개정 게시 날짜 의견
1.0
17-Aug-2007
최초 릴리스

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품