Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA 8.0 SSLVPN (WebVPN): Personalização portal avançada

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

A versão de software 8.0 da Cisco Adaptive Security Appliance (ASA) 5500 Series introduz as características avançadas de personalização que permitem o desenvolvimento de portais web atrativos para usuários sem clientes. Este documento detalha as muitas opções disponíveis para personalizar a página de login, ou tela de boas-vindas e a página do portal web.

Pré-requisitos

Requisitos

Cisco recomenda que você tem o conhecimento de como usar o Cisco Adaptive Security Device Manager (ASDM) a fim configurar grupo-políticas e perfis de conexão no ASA.

Refira estes documentos para a informação geral:

Antes de estabelecer um portal da web personalizado, você deve terminar algumas etapas de configuração básicas ASA. Veja a seção dos requisitos de configuração deste documento para mais informação.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão ASA 8.x de Cisco

  • Versão ASDM Cisco 6.x

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Requisitos de configuração

Você deve configurar o ASA à vista das etapas da personalização apresentadas neste documento.

Conclua estes passos:

  1. No ASDM, escolha a configuração > o acesso remoto VPN > do acesso > do grupo dos sem clientes SSL VPN políticas a fim criar uma política do grupo, introduzindo no mercado por exemplo, e verifique a caixa de verificação dos sem clientes SSL VPN sob o protocolo de tunelamento.

    Figura 1: Crie uma política nova do grupo (o mercado)

    /image/gif/paws/100586/asa5500_portal_customization1.gif

  2. Escolha a configuração > o acesso remoto VPN > os sem clientes SSL VPN > perfis de conexão a fim criar um perfil de conexão, tal como sslclient, junto com os detalhes do server da autenticação requerida, servidor AAA por exemplo, e atribua a política do grupo de marketing.

    Figura 2: Crie um perfil da nova conexão (sslclient)

    /image/gif/paws/100586/asa5500_portal_customization2.gif

  3. A fim continuar a configuração do perfil de conexão, clique avançado e configurar uma grupo-URL para o perfil de conexão.

    Figura 3: Configurar Grupo-URL para o perfil de conexão

    /image/gif/paws/100586/asa5500_portal_customization3.gif

    Nota: Neste exemplo, a grupo-URL é configurada em três formatos diferentes. O usuário pode entrar em qualquer deles a fim conectar ao ASA com o perfil de conexão sslclient.

  4. Escolha a configuração > o acesso remoto VPN > o acesso > o portal > a personalização dos sem clientes SSL VPN, e adicionar estes dois objetos da personalização:

    • Custom_Login

    • Custom_Marketing

    Figura 4: Crie uma personalização nova (Custom_Login)

    /image/gif/paws/100586/asa5500_portal_customization4.gif

    Nota:  Figura 4 ilustra como criar o objeto de Custom_Login. Repita as mesmas etapas a fim adicionar o objeto da personalização de Custom_Marketing. Contudo, não edite estes objetos da personalização neste tempo. As várias opções de configuração são discutidas nas seções subsequente deste documento.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Vista geral da personalização

Em uma encenação típica dos sem clientes, um usuário remoto incorpora o FQDN do ASA em um navegador a fim registrar nele. De lá, uma página de login, ou a tela de boas vindas, publicam-se. Após a autenticação bem sucedida, as opiniões de usuário um portal da web com todos os aplicativos autorizados.

Nas versões mais cedo de 8.0, os apoios do portal da web personalização limitada, assim que ele significam que todos os usuários ASA experimentam os mesmos página da web. Estes página da web, com gráficos limitados, são muito desviantes das páginas típicas do intranet.

Melhores olhar e sensação

O ASA introduz uma característica completa da personalização, que permita a integração da funcionalidade do “início de uma sessão” com seus página da web existentes. Além, há umas melhorias significativas à personalização do portal da web. Os exemplos neste documento permitem-no de personalizar páginas ASA para ter um olhar e para senti-lo similares a suas páginas existentes do intranet, que forneça uma experiência mais consistente do usuário quando as páginas ASA são consultadas.

Virtualização

As várias opções de personalização reforçam a capacidade do ASA para fornecer a virtualização durante a experiência do usuário. Por exemplo, um grupo de marketing pode é presentado com uma página de login e um portal da web que tenham um olhar completamente diferente e sente-os do que as páginas apresentadas às vendas ou aos grupos de engenharia.

Páginas apoiadas

O ASA apoia dois tipos diferentes de páginas WebVPN que são customizáveis.

Página de login

Quando um usuário entra em https://asa.cisco.com/sslclient grupo-URL em um navegador a fim conectar ao ASA, esta página de login do padrão publica-se:

Figura 5: Página de login do padrão

/image/gif/paws/100586/asa5500_portal_customization5.gif

A fim alterar esta página de login, você edita a personalização associada com o perfil de conexão. As etapas exigidas para alterar esta personalização aparecem na seção da página de login da personalização deste documento. Por agora, termine estas etapas:

  1. Escolha a configuração > o acesso remoto VPN > o acesso > os perfis de conexão dos sem clientes SSL VPN.

  2. Edite o perfil de conexão sslclient, e associe a personalização de Custom_Login com este perfil de conexão.

Figura 6: Associe a personalização (Custom_Login) com o perfil de conexão (sslclient)

/image/gif/paws/100586/asa5500_portal_customization6.gif

Página portal

Depois que o usuário é autenticado, este padrão1 página do portal da web aparece:

Figura 7: Página do portal do padrão

/image/gif/paws/100586/asa5500_portal_customization7.gif

1. Isto supõe que todos os encaixes (VNC, ICA, SSH e RDP) estão permitidos. Se os encaixes não são permitidos, você não observaria suas abas.

A fim alterar este portal da web, você edita a personalização associada com a política do grupo. As etapas exigidas para alterar esta personalização aparecem no portal da web da personalização deste documento. Por agora, termine estas etapas:

  1. Escolha a configuração > o acesso remoto VPN > do acesso > do grupo dos sem clientes SSL VPN políticas.

  2. Edite a política do grupo de marketing, e associe a personalização de Custom_Marketing com esta política do grupo.

Figura 8: Personalização do associado (Custom_Marketing) com política do grupo (mercado)

/image/gif/paws/100586/asa5500_portal_customization8.gif

Nota: Os perfis da conexão múltipla, cada um com seu próprio método de autenticação, tal como o RAIO, LDAP, ou Certificados, podem ser associados com uma única política do grupo. Consequentemente, você tem a opção para criar páginas de login múltiplas, por exemplo uma personalização do início de uma sessão para cada perfil de conexão, e podem tudo ser associadas com a mesma personalização do portal da web que é associada com a política do grupo de marketing.

Personalize o portal da web

Este é um portal da web personalizado amostra:

Figura 9: Página personalizada do portal da web

/image/gif/paws/100586/asa5500_portal_customization9.gif

Observe que a página tem um título com um esquema de cores do inclinação, um logotipo para introduzir no mercado, alguns endereços da Internet da Web com unhas do polegar, uma alimentação RSS e uma página feita sob encomenda do intranet. A página feita sob encomenda do intranet permite que o utilizador final navegue sua página do intranet e use simultaneamente as outras abas no portal da web.

Nota: Você ainda precisa de reter a disposição do página da web com quadros superiores e esquerdos, assim que significa que, restritamente falando, esta página não é inteiramente customizável. Você pode mudar muitos componentes pequenos para obter tão fecha-se um olhar como possível a seus portais do intranet.

Tampas desta seção como configurar cada componente individual no portal da web com o editor da personalização no ASDM.

Painel de título

Figura 10: Painel de título

/image/gif/paws/100586/asa5500_portal_customization10.gif

A fim configurar o painel de título, estas opções de personalização são permitidas:

Figura 11: Editor da personalização: Configuração do painel de título

/image/gif/paws/100586/asa5500_portal_customization11.gif

Logotipo URL

A fim personalizar o logotipo no painel de título, transfira arquivos pela rede a imagem do logotipo ao ASA.

Figura 12: Arquivo marketing.gif do logotipo da transferência de arquivo pela rede como Webcontent ao ASA

/image/gif/paws/100586/asa5500_portal_customization12.gif

  1. Escolha o acesso > o portal > os conteúdos da Web dos sem clientes SSL VPN, clique a importação, e forneça o trajeto ao arquivo do logotipo em seu computador local. Transfira-o arquivos pela rede como o conteúdo da Web no diretório/+CSCOU+/.

  2. Incorpore o logotipo URL/+CSCOU+/marketing.gif, segundo as indicações de Figure12.

  3. Incorpore o mercado ASA VPN como o texto.

  4. Clique… o botão a fim escolher a cor da fonte e a cor do fundo.

  5. Permita a opção do inclinação a fim criar um teste padrão gradual atrativo da cor.

Barra de ferramentas

Figura 13: Barra de ferramentas personalizada

/image/gif/paws/100586/asa5500_portal_customization13.gif

A fim configurar estes endereço/barra de ferramentas, edite estas opções de personalização:

Figura 14: Editor da personalização: Configuração da barra de ferramentas

/image/gif/paws/100586/asa5500_portal_customization14.gif

Nota: A barra de ferramentas é permitida à revelia. Neste exemplo, os campos restantes, tais como o título da caixa alerta, texto do botão Browse, e alerta da saída são rebatizados, como mostrado.

Web-endereços da Internet com unhas do polegar

Figura 15: Endereços da Internet personalizados com unhas do polegar

/image/gif/paws/100586/asa5500_portal_customization15.gif

A fim adicionar as unhas do polegar ao lado dos endereços da Internet, termine estas etapas:

  1. Transfira arquivos pela rede a imagem exigida ao diretório/+CSCOU+/.

    Figura 16: Transfira arquivos pela rede a imagem reduzida para associar com os endereços da Internet

    /image/gif/paws/100586/asa5500_portal_customization16.gif

  2. Associe a imagem reduzida com os endereços da Internet ASA.

    1. Escolha o portal > os endereços da Internet.

    2. Clique em Add. Incorpore pedidos para o nome de lista do endereço da Internet.

    3. Clique em Add. Incorpore o mercado ASA para o título do endereço da Internet.

    4. Entre em http://cisco.com/go/asa como o valor URL, e escolha opções avançadas.

    5. O clique controla. Escolha a unha do polegar previamente transferida arquivos pela rede /+CSCOU+/5550-1.gif, e clique a APROVAÇÃO.

      Figura 17: Unhas do polegar do associado com endereços da Internet

      /image/gif/paws/100586/asa5500_portal_customization17.gif

  3. Associe os endereços da Internet com a política do grupo ASA.

    1. Escolha a configuração > o acesso remoto VPN > do acesso > do grupo dos sem clientes SSL VPN políticas, e edite a política de mercado.

    2. Escolha o portal. Desmarcar herdam ao lado da lista do endereço da Internet, e selecionam aplicativos do menu suspenso.

      Figura 18: Endereços da Internet do associado com política do grupo (mercado)

      /image/gif/paws/100586/asa5500_portal_customization18.gif

Placas feitas sob encomenda: Alimentação RSS

Figura 19: Alimentação personalizada RSS

/image/gif/paws/100586/asa5500_portal_customization19.gif

A fim indicar uma alimentação do costume RSS, edite estes elementos da personalização:

Figura 20: Placas feitas sob encomenda: Configuração da alimentação RSS

/image/gif/paws/100586/asa5500_portal_customization20.gif

Nota: Alimentações RSS para a Recomendação de Segurança da Cisco: http://newsroom.cisco.com/data/syndication/rss2/SecurityAdvisories_20.xml.

Placas feitas sob encomenda: Página feita sob encomenda do intranet

Figura 21: Página da web personalizado do intranet

/image/gif/paws/100586/asa5500_portal_customization21.gif

A fim configurar este Web page feito sob encomenda do intranet, edite estes elementos da personalização:

Figura 22: Editor da personalização: Configuração feita sob encomenda das placas

/image/gif/paws/100586/asa5500_portal_customization22.gif

Nota: URL para a página do CCO Cisco: http://cisco.com/en/US/netsol.

Nomes personalizados da aba do aplicativo

Figura 23: Nomes personalizados da aba do aplicativo

/image/gif/paws/100586/asa5500_portal_customization23.gif

A fim configurar nomes da aba do aplicativo, edite estes elementos da personalização:

Figura 24: Personalize nomes da aba do aplicativo

/image/gif/paws/100586/asa5500_portal_customization24.gif

Nota: Você permite seletivamente os aplicativos e igualmente rearranja-os com para cima e para baixo os links.

Unhas do polegar personalizadas do aplicativo

Figura 25: Unhas do polegar personalizadas do aplicativo

/image/gif/paws/100586/asa5500_portal_customization25.gif

A fim adicionar suas unhas do polegar favoritas ao lado dos nomes do aplicativo, tais como os ícones no exemplo, termina estas etapas:

  1. Da página portal, clicar com o botão direito a imagem reduzida do padrão para encontrar seus nome e lugar.

    • Para a aba home, o lugar da imagem reduzida é/+CSCOU+/nv-home.gif.

    • Para a aba dos aplicativos de web, o lugar da unha do polegar é/+CSCOU+/nv-web-access.gif.

  2. Importe a imagem desejada como o conteúdo da Web ao ASA com o nome capturado em etapa um.

    Por exemplo, se você quer associar disney.gif com os aplicativos de web aba, importe-o como nv-web-access.gif.

    Figura 26: Unhas do polegar da importação para abas do aplicativo

    /image/gif/paws/100586/asa5500_portal_customization26.gif

Páginas personalizadas da ajuda para aplicativos

À revelia, Cisco fornece arquivos da ajuda para o uso do aplicativo. Estas páginas podem ser substituídas por suas próprias páginas html feitas sob encomenda. Por exemplo, em figura 27, você pode adicionar uma imagem feita sob encomenda à página da ajuda.

Figura 27: Página personalizada da ajuda

/image/gif/paws/100586/asa5500_portal_customization27.gif

A fim personalizar os arquivos da ajuda, termine estas etapas:

  1. Escolha o portal > a personalização da ajuda, e clique a importação.

  2. Selecione a língua.

  3. Selecione o arquivo .inc. Por exemplo, se você quer editar a página da ajuda que corresponde à aba do acesso do aplicativo de web, selecione o arquivo web-access-hlp.inc.

  4. Escolha seu arquivo HTML feito sob encomenda.

    Figura 28: Arquivos personalizados importação da ajuda para o acesso de aplicativo

    /image/gif/paws/100586/asa5500_portal_customization28.gif

Teste a personalização

Neste momento, log no ASA em https://asa.cisco.com/sslclient. Após a autenticação bem sucedida, você o portal da web personalizado aparece.

Personalize a página de login

Esta é a página de login do padrão:

Figura 29: Página de login do padrão

/image/gif/paws/100586/asa5500_portal_customization5.gif

Esta é uma página de login inteiramente personalizada:

Figura 30: Página de login inteiramente personalizada

/image/gif/paws/100586/asa5500_portal_customization30.gif

A página de login nova inclui um logotipo, um título, e uma imagem personalizados junto com o início de uma sessão/caixa de diálogo da senha. A página de login é inteiramente customizável, que significa que você pode construir toda a página html e introduz o início de uma sessão/caixa de diálogo da senha no lugar desejado.

Nota: Quando a página de login inteira for customizável, o início de uma sessão/caixa de diálogo da senha específicos que as cargas ASA ao utilizador final não são inteiramente customizáveis.

Com personalização completa, você pode fornecer o HTML para sua própria tela de login, e introduz então o código de Cisco HTML que chama as funções na ferramenta de segurança que criam o formulário do início de uma sessão e a lista de drop-down do seletor da língua.

As próximas seções deste documento descrevem as alterações exigidas no código HTML e nas tarefas exigidos configurar a ferramenta de segurança para usar o código novo.

Comece com seu próprio arquivo HTML

Este HTML foi obtido do editor de Microsoft Frontpage. Inclui o título, o logotipo personalizado, uma imagem e um pé de página.

/image/gif/paws/100586/asa5500_portal_customization38.gif

Nota: As imagens 5550.gif e asa.gif salvar nos login_files do diretório. Os espaços em branco são intencionais, e são substituídos com o início de uma sessão/caixa de diálogo da senha em umas etapas mais atrasadas.

Neste momento, a página olha como figura 31. Observação como inclui o espaço em branco para permitir a inserção da caixa de diálogo nas etapas futuras.

Figura 31: Página da web inicial

/image/gif/paws/100586/asa5500_portal_customization31.gif

Altere os links à Localização da Imagem

Para todas as imagens, substitua o trajeto com a palavra-chave/+CSCOU+/, que é um diretório interno no ASA. Quando você transfere arquivos pela rede uma imagem ao ASA, a imagem salvar no diretório interno/+CSCOU+/no sistema de arquivos ASA. Mais tarde, quando o ASA carrega este HTML alterado, carrega os arquivos de imagem corretamente.

Figura 32: Código alterado HTML

/image/gif/paws/100586/asa5500_portal_customization32.gif

Nota: No primeiro link, login_files/5550.gif é substituído com o /+CSCOU+/5550.gif.

Rebatize o arquivo HTML

A próxima etapa é rebatizar este arquivo de login.html a login.inc.

A extensão .inc é exigida de modo que o ASA reconheça este como um tipo especial de arquivo e inclua o script de Java necessário para apoiar o início de uma sessão/caixa de diálogo da senha.

Adicionar o código ao arquivo login.inc

Este código HTML deve ser adicionado no lugar onde você quer indicar o início de uma sessão/caixa de diálogo da senha.

<body onload="csco_ShowLoginForm('lform');
   csco_ShowLanguageSelector('selector')" 
bgcolor="white">

<table> <tr><td colspan=3 height=20 align=right>

<div id="selector" style="width: 300px"></div> </td></tr>

<tr> <td align=middle valign=middle>

<div id=lform>

Loading...

</div> </td> </tr> </table>

Nota: O primeiro csco_ShowLoginForm(lform) e o csco_ShowLanguageSelector(seletor) de duas funções são duas funções do script de Java cuja a definição está importada pelo ASA quando rende o arquivo .inc. Neste código, você invoca simplesmente a função a fim indicar o início de uma sessão/caixa de diálogo da senha junto com o seletor da língua.

Nota: A caixa de diálogo é representada como um elemento de tabela. Isto pode ser envolvido em torno das outras imagens ou texto ou ser alinhado enquanto você vê o ajuste para sua página html.

Nesta encenação, o início de uma sessão/caixa de diálogo da senha aparece acima da imagem de asa.gif no centro. Quando você introduz o código, a página html final olha como esta:

/image/gif/paws/100586/asa5500_portal_customization39.gif

Transfira arquivos pela rede o login.inc e os arquivos de imagem como o conteúdo da Web ao ASA

A próxima etapa é transferir arquivos pela rede o arquivo final login.inc e os arquivos de imagem como webcontents ao ASA. Você precisa de certificar-se selecionar a opção inferior a fim salvar os arquivos no/+CSCOU + diretório.

Figura 33: Importe os arquivos de imagem como Webcontent ao ASA

/image/gif/paws/100586/asa5500_portal_customization33.gif

Selecione o login.inc para ser o arquivo para a personalização completa

Finalmente, no editor da personalização, selecione a aba completa da personalização, e forneça um link ao arquivo login.inc que você transferiu arquivos pela rede. Quando o utilizador final conecta de um perfil de conexão que esteja associado com esta personalização, tal como sslclient, o usuário vê a página de login inteiramente personalizada.

Figura 34: Associe o login.inc para ser o arquivo para a personalização completa

/image/gif/paws/100586/asa5500_portal_customization34.gif

Teste a personalização completa

Quando você conecta ao ASA com https://asa.cisco.com/sslclient, a página de login inteiramente personalizada publica-se.

Figura 35: Página de login inteiramente personalizada do final

/image/gif/paws/100586/asa5500_portal_customization35.gif

Apoio CLI

Como explicado, todas as personalizações são editadas com o ASDM. Contudo, você pode ainda usar estes comandos CLI a fim suprimir das personalizações e do outro índice WebVPN:

reverta o webvpn:

all                Revert all webvpn related data
  customization      Revert customization file
  plug-in            Revert plug-in options
  translation-table  Revert translation table
  url-list           Revert a list of URLs for use with WebVPN
  webcontent         Revert webcontent

Por exemplo:

  • A fim suprimir de uma personalização, emita o comando CLI de Custom_Marketing da personalização do webvpn da reversão.

  • A fim suprimir do arquivo do logotipo, emita o comando webcontent do webvpn/+CSCOU+/marketing.gif da reversão.

  • A fim suprimir dos endereços da Internet, emita o comando de Marketing_URL_List da lista URL do webvpn da reversão.

  • A fim suprimir de todas as personalizações, os webcontents, encaixes, e endereços da Internet, emitem o comando all do webvpn da reversão.

Nota: Desde que as personalizações WebVPN não salvar na configuração running, um típico escreve o erase, a sequência do reload não apaga personalizações ou webcontents do ASA. Você deve explicitamente emitir reverte comandos webvpn ou suprime manualmente das personalizações do ASDM.

Backup as personalizações

Ao contrário dos outros comandos CLI, as personalizações não salvar na configuração running. Em lugar de, você precisa de exportar explicitamente as personalizações, e salvar no formato XML ao computador host.

Figura 36: Backup ou Replicate da personalização da exportação a um outro ASA

/image/gif/paws/100586/asa5500_portal_customization36.gif

A fim restaurar as personalizações, importe-as com o arquivo XML obtido na etapa precedente.

Figura 37: Importe uma personalização de um arquivo previamente exportado XML

/image/gif/paws/100586/asa5500_portal_customization37.gif

Nota: Além do que a exportação/que importa a personalização, você igualmente precisa manualmente o backup/restauração o webcontent, que inclui os arquivos de imagem, ajuda arquiva, e imagens reduzidas, explicitamente. Se não, a personalização não é inteiramente - funcional.

Conclusão

As características avançadas da personalização introduzidas na versão ASA 8.0 permitem o desenvolvimento de páginas atrativas do portal da web. Você pode conseguir a virtualização criando portal da web personalizados diferentes para grupos diferentes. Além, a página de login pode inteiramente ser personalizada para combinar os portal da web regulares do intranet que fornece uma experiência consistente do usuário.

Troubleshooting

Você pôde receber este Mensagem de Erro depois que a personalização WebVPN é permitida:

%ERROR: csco_config.lua:36: csco_config.lua:552: copying
'disk0:/csco_config/locale/ja/LC_MESSAGES/PortForwarder.po' to a temporary ramfs file
failed

%ERROR: csco_config.lua:36: csco_config.lua:552: copying
'disk0:/csco_config/locale/ja/LC_MESSAGES/webvpn.po' to a temporary ramfs file failed

%ERROR: csco_config.lua:36: csco_config.lua:552: copying
'disk0:/csco_config/locale/fr/LC_MESSAGES/customization.po' to a temporary ramfs file
failed.

A fim resolver esta edição, execute o comando all do webvpn da reversão, e recarregue o ASA.


Informações Relacionadas


Document ID: 100586