安全 : Cisco ASA 5500 系列自适应安全设备

ASA 8.0 SSLVPN (WebVPN) :高级入口定制

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

Cisco 自适应安全设备 (ASA) 5500 系列软件版本 8.0 引入了高级自定义功能,使用此功能可以为无客户端用户开发极具吸引力的 Web 门户。本文档详细介绍了多个可用于自定义登录页或欢迎页以及 Web 门户页的选项。

先决条件

要求

Cisco 建议您了解如何使用 Cisco 自适应安全设备管理器 (ASDM) 以便在 ASA 上配置组策略和连接配置文件。

有关一般信息,请参阅以下文档:

在设置自定义 Web 门户之前,您必须完成一些基本的 ASA 配置步骤。有关详细信息,请参阅本文档的配置要求部分。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco ASA 版本 8.x

  • Cisco ASDM 版本 6.x

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置要求

在准备执行本文档中介绍的自定义步骤之前,您必须配置 ASA。

完成这些步骤:

  1. 在 ASDM 中,选择 Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies 以创建组策略(例如 Marketing),并选中隧道协议下的 Clientless SSL VPN 复选框。

    图 1:创建新的组策略 (Marketing)

    /image/gif/paws/100586/asa5500_portal_customization1.gif

  2. 选择 Configuration > Remote Access VPN > Clientless SSL VPN > Connection Profiles 以创建连接配置文件(例如 sslclient),设置所需的身份验证服务器详细信息(例如 AAA 服务器),并指定 Marketing 组策略。

    图 2:创建新的连接配置文件 (sslclient)

    /image/gif/paws/100586/asa5500_portal_customization2.gif

  3. 要继续配置连接配置文件,请单击 Advanced,然后配置连接配置文件的 group-url。

    图 3:配置连接配置文件的 Group-URL

    /image/gif/paws/100586/asa5500_portal_customization3.gif

    注意: 在本示例中,使用三种不同格式配置了 group-url。用户可以输入其中任何一种配置,以通过 sslclient 连接配置文件连接 ASA。

  4. 选择 Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Customization,然后添加以下两个自定义对象:

    • Custom_Login

    • Custom_Marketing

    图 4:创建新的自定义项 (Custom_Login)

    /image/gif/paws/100586/asa5500_portal_customization4.gif

    注意: 图 4 介绍了如何创建 Custom_Login 对象。重复执行相同步骤以添加 Custom_Marketing 自定义对象。但是,请勿在此时编辑这些自定义对象。本文档的后续部分将讨论各种配置选项。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

自定义概述

在典型的无客户端方案中,远程用户可以在浏览器中输入 ASA 的 FQDN 以登录 ASA。此时会出现一个登录页或欢迎屏幕。成功通过身份验证后,用户将会看到 Web 门户以及所有授权应用程序。

在 8.0 之前的版本中,Web 门户仅支持有限的自定义,也就是说所有 ASA 用户都使用相同的网页。这些网页仅具有少数图片,它们与典型的 intranet 页差别很大。

更好的外观

ASA 引入了完全自定义功能,使用此功能可以将“登录”功能集成到您现有的网页中。此外,它还极大改进了 Web 门户的自定义功能。本文档的示例使您可以自定义 ASA 页,以使其外观贴近现有的 intranet 页,从而在用户浏览 ASA 页时提供更加一致的用户体验。

虚拟化

多种自定义选项增强了 ASA 在用户体验期间提供虚拟化的功能。例如,Marketing 组的登录页和 Web 门户可以具有与 Sales 或 Engineering 组完全不同的外观。

支持页

ASA 支持两种不同类型的可自定义 WebVPN 页。

登录 页

当用户在浏览器中输入 https://asa.cisco.com/sslclient group-url 以连接 ASA 时,将会看到以下默认登录页:

图 5:默认登录页

/image/gif/paws/100586/asa5500_portal_customization5.gif

要修改此登录页,您可以编辑与连接配置文件关联的自定义项。用于修改此自定义项的步骤将在本文档的自定义登录页部分介绍。现在,请执行下列步骤:

  1. 选择 Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles

  2. 编辑 sslclient 连接配置文件,并将 Custom_Login 自定义项与此连接配置文件关联。

图 6:将自定义项 (Custom_Login) 与连接配置文件 (sslclient) 关联

/image/gif/paws/100586/asa5500_portal_customization6.gif

门户页

在用户通过身份验证之后,将显示以下默认 1 Web 门户页:

图 7:默认门户页

/image/gif/paws/100586/asa5500_portal_customization7.gif

1. 这假设所有插件(VNC、ICA、SSH和RDP)启用。如果插件没有启用,您不会注意他们的选项卡。

要修改此 Web 门户,您可以编辑与组策略关联的自定义项。用于修改此自定义项的步骤将在本文档的自定义 Web 门户中介绍。现在,请执行下列步骤:

  1. 选择 Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies

  2. 编辑 Marketing group 策略,然后将 Custom_Marketing 自定义项与此组策略关联。

图 8:将自定义项 (Custom_Marketing) 与组策略 (Marketing) 关联

/image/gif/paws/100586/asa5500_portal_customization8.gif

注意: 多个连接配置文件(每个配置文件都具有自己的身份验证方案,例如 RADIUS、LDAP 或证书)可以与一个组策略关联。因此,您可以创建多个登录页(例如为每个连接配置文件创建一个登录自定义项),这些登录页可与同一 Web 门户(与 Marketing 组策略关联)相关联。

自定义 Web 门户

以下是一个自定义 Web 门户示例:

图 9:自定义 Web 门户页

/image/gif/paws/100586/asa5500_portal_customization9.gif

请注意,此页面中具有一个采用渐变颜色设计的标题、一个 Marketing 徽标、一些带有缩略图的 Web 书签、一个 RSS 源以及一个自定义 intranet 页。使用自定义 intranet 页,终端用户可以在其 intranet 页中导航,同时还可以使用 Web 门户上的其他选项卡。

注意: 您仍需保留顶部框架与左侧框架的网页布局,也就是说,严格上讲此页面还不是可完全自定义的。您可以更改多个小组件,以尽量贴近您的 intranet 门户的外观。

本部分介绍如何使用 ASDM 的自定义编辑器配置 Web 门户中的各个组件。

标题面板

图 10:标题面板

/image/gif/paws/100586/asa5500_portal_customization10.gif

要配置标题面板,可以使用以下自定义选项:

图 11:自定义编辑器:标题面板配置

/image/gif/paws/100586/asa5500_portal_customization11.gif

徽标 URL

要自定义标题面板中的徽标,请将徽标图像上载到 ASA。

图 12:将徽标文件 marketing.gif 作为 Web 内容上载到 ASA

/image/gif/paws/100586/asa5500_portal_customization12.gif

  1. 选择 Clientless SSL VPN Access > Portal > Web Contents,单击 Import,然后提供徽标文件在本地计算机上的路径。将其作为 Web 内容上载到 /+CSCOU+/ 目录中。

  2. Figure12所显示,输入/+CSCOU+/marketing.gif徽标URL

  3. 输入 ASA VPN Marketing 作为文本。

  4. 单击 按钮以选择字体颜色和背景颜色。

  5. 启用 Gradient 选项以创建具有吸引力的渐变颜色模式。

工具栏

图 13:自定义工具栏

/image/gif/paws/100586/asa5500_portal_customization13.gif

要配置此地址/工具栏,请编辑以下自定义选项:

图 14:自定义编辑器:工具栏配置

/image/gif/paws/100586/asa5500_portal_customization14.gif

注意: 默认情况下,工具栏处于启用状态。在本示例中,我们修改了其余字段的名称,例如提示框标题,浏览按钮文本和注销提示等,如下所示。

带缩略图的 Web 书签

图 15:带缩略图的自定义书签

/image/gif/paws/100586/asa5500_portal_customization15.gif

要在书签旁添加缩略图,请执行下列步骤:

  1. 将所需图像上载到 /+CSCOU+/ 目录中。

    图 16:上载要与书签关联的缩略图图像

    /image/gif/paws/100586/asa5500_portal_customization16.gif

  2. 将缩略图图像与 ASA 书签关联。

    1. 选择 Portal > Bookmarks

    2. 单击 Add。输入 Applications 作为书签列表名称。

    3. 单击 Add。输入 ASA Marketing 作为书签标题。

    4. 输入 http://cisco.com/go/asa 作为 URL 值,并选择 Advanced Options。

    5. 单击 Manage。选择之前上载的 /+CSCOU+/5550-1.gif 缩略图,然后单击 OK。

      图 17:将缩略图与书签关联

      /image/gif/paws/100586/asa5500_portal_customization17.gif

  3. 将书签与 ASA 组策略关联。

    1. 选择 Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies,然后编辑 Marketing 策略。

    2. 选择 Portal。取消选中 Bookmark List 旁的 Inherit,然后从下拉菜单中选择 Applications。

      图 18:将书签与组策略 (Marketing) 关联

      /image/gif/paws/100586/asa5500_portal_customization18.gif

自定义窗格:RSS 源

图 19:自定义 RSS 源

/image/gif/paws/100586/asa5500_portal_customization19.gif

要显示自定义 RSS 源,请编辑以下自定义元素:

图 20:自定义窗格:RSS 源配置

/image/gif/paws/100586/asa5500_portal_customization20.gif

注意: 用于 Cisco 安全建议的 RSS 源:http://newsroom.cisco.com/data/syndication/rss2/SecurityAdvisories_20.xml

自定义窗格:自定义 Intranet 页

图 21:自定义 Intranet 网页

/image/gif/paws/100586/asa5500_portal_customization21.gif

要配置此自定义 Intranet 网页,请编辑以下自定义元素:

图 22:自定义编辑器:自定义窗格配置

/image/gif/paws/100586/asa5500_portal_customization22.gif

注意: Cisco CCO 页的 URL:http://cisco.com/en/US/netsol

自定义应用程序选项卡名称

图 23:自定义应用程序选项卡名称

/image/gif/paws/100586/asa5500_portal_customization23.gif

要配置应用程序选项卡名称,请编辑以下自定义元素:

图 24:自定义应用程序选项卡名称

/image/gif/paws/100586/asa5500_portal_customization24.gif

注意: 您可以有选择地启用各个应用程序,并使用 Up 和 Down 链接重新排列其顺序。

自定义应用程序缩略图

图 25:自定义应用程序缩略图

/image/gif/paws/100586/asa5500_portal_customization25.gif

要在应用程序名称旁添加喜爱的缩略图(例如示例中的图标),请执行下列步骤:

  1. 从门户页中,右键单击默认缩略图图像以查找其名称和位置。

    • 对于 Home 选项卡,缩略图图像的位置是 /+CSCOU+/nv-home.gif。

    • 对于 Web Applications 选项卡,缩略图图像的位置是 /+CSCOU+/nv Webaccess.gif。

  2. 将所需图像作为 Web 内容导入到 ASA 中,并使用在第一步中获得的名称。

    例如,如果要将 disney.gif 与 Web Applications 选项卡关联,请将其导入为 nv-web-access.gif。

    图 26:导入应用程序选项卡的缩略图

    /image/gif/paws/100586/asa5500_portal_customization26.gif

自定义应用程序帮助页

默认情况下,Cisco 将会提供应用程序的使用帮助文件。您可以使用自己的自定义 HTML 页面替换这些页面。例如,在表 27 中,您可以在帮助页中添加一个自定义图像。

图 27:自定义帮助页

/image/gif/paws/100586/asa5500_portal_customization27.gif

要自定义帮助文件,请执行下列步骤:

  1. 选择 Portal > Help Customization,然后单击 Import。

  2. 选择 Language

  3. 选择 .inc 文件。例如,如果要编辑对应于 Web Application 访问选项卡的帮助页,请选择 web-access-hlp.inc 文件。

  4. 选择您的自定义 HTML 文件。

    图 28:导入自定义应用程序访问帮助文件

    /image/gif/paws/100586/asa5500_portal_customization28.gif

测试自定义项

此时,请访问 https://asa.cisco.com/sslclient 以登录 ASA。成功通过身份验证后,您的自定义 Web 门户将会出现。

自定义登录页

以下是默认登录页:

图 29:默认登录页

/image/gif/paws/100586/asa5500_portal_customization5.gif

以下是一个完全自定义的登录页:

图 30:完全自定义的登录页

/image/gif/paws/100586/asa5500_portal_customization30.gif

新的登录页包含一个自定义徽标、标题、图像以及登录名/口令对话框。此登录页是可完全自定义的,也就是说您可以构建任何 HTML 页,并在所需位置插入登录名/口令对话框。

注意: 尽管整个登录页都是可自定义的,但 ASA 向终端用户呈现的特定登录名/口令对话框并不是可完全自定义的。

使用完全自定义功能,您可以为自己的登录屏幕提供 HTML,然后插入 Cisco HTML 代码,并通过这些代码调用安全设备上的功能以创建登录表单和语言选择器下拉列表。

本文档的以下部分将介绍如何修改 HTML 代码,以及配置安全设备使用新代码所需的任务。

从您自己的 HTML 文件开始

以下 HTML 是从 Microsoft FrontPage 编辑器中获得的。它包括标题、自定义徽标、一个图像和页脚。

/image/gif/paws/100586/asa5500_portal_customization38.gif

注意: 图像 5550.gif 和 asa.gif 保存在目录 login_files 中。空白区域是有意留下的,在后续步骤中会将这些区域替换为登录名/口令对话框。

此时,页面外观如图 31 所示。请注意如何在代码中包含空白区域,以便在后续步骤中插入对话框。

图 31:最初的网页

/image/gif/paws/100586/asa5500_portal_customization31.gif

修改图像位置的链接

对于所有图像,请将路径替换为关键字 /+CSCOU+/,此关键字是 ASA 的内部目录。当您将图像上载到 ASA 后,此图像将保存到 ASA 文件系统的 /+CSCOU+/ 内部目录中。之后,当 ASA 加载经过修改的 HTML 时,它将正确加载此图像文件。

图 32:经过修改的 HTML 代码

/image/gif/paws/100586/asa5500_portal_customization32.gif

注意: 在第一个链接中,login_files/5550.gif 被替换为 /+CSCOU+/5550.gif。

重命名 HTML 文件

下一步是将此 login.html 文件重命名为 login.inc。

必须使用 .inc 扩展名,这样 ASA 才能将其识别为特殊类型文件,并包含必要的 Java 脚本以支持登录名/口令对话框。

在 login.inc 文件中添加代码

您必须在要显示登录名/口令对话框的位置添加以下 HTML 代码。

<body onload="csco_ShowLoginForm('lform');
   csco_ShowLanguageSelector('selector')" 
bgcolor="white">

<table> <tr><td colspan=3 height=20 align=right>

<div id="selector" style="width: 300px"></div> </td></tr>

<tr> <td align=middle valign=middle>

<div id=lform>

Loading...

</div> </td> </tr> </table>

注意: 前两个函数(csco_ShowLoginForm(lform) 和 csco_ShowLanguageSelector(selector))是两个 Java 脚本函数,ASA 将会在渲染 .inc 文件时导入其定义。在此代码中,您只需调用这两个函数即可显示登录名/口令对话框以及语言选择器。

注意: 此对话框以表格元素形式表示。您可以使用其他图像或文本对其进行修饰,或是根据 HTML 页的外观调整其位置。

在本示例中,登录名/口令对话框将在 asa.gif 图像上方居中显示。当您插入此代码后,最终 HTML 页的外观如下所示:

/image/gif/paws/100586/asa5500_portal_customization39.gif

将 login.inc 和图像文件作为 Web 内容上载到 ASA

下一步是将最终的 login.inc 文件和图像文件作为 web 内容上载到 ASA。您需要确保选中底部选项以将这些文件保存在 /+CSCOU+/ 目录中。

图 33:将图像文件作为 Web 内容导入到 ASA

/image/gif/paws/100586/asa5500_portal_customization33.gif

选择 login.inc 作为要进行完全自定义的文件

最后,在自定义编辑器中,选择 Full Customization 选项卡,然后提供您上载的 login.inc 文件的链接。当终端用户从与此自定义项关联的连接配置文件(例如 sslclient)连接时,用户将看到完全自定义的登录页。

图 34:将 login.inc 关联为要完全自定义的文件

/image/gif/paws/100586/asa5500_portal_customization34.gif

测试完全自定义项

当您通过 https://asa.cisco.com/sslclient 连接到 ASA 时,完全自定义的登录页将会出现。

图 35:最终的完全自定义的登录页

/image/gif/paws/100586/asa5500_portal_customization35.gif

CLI 支持

如前所述,所有自定义项都是使用 ASDM 进行编辑的。但是,您仍可使用以下 CLI 命令以删除自定义项和其他 Webvpn 内容:

revert webvpn:

all                Revert all webvpn related data
  customization      Revert customization file
  plug-in            Revert plug-in options
  translation-table  Revert translation table
  url-list           Revert a list of URLs for use with WebVPN
  webcontent         Revert webcontent

例如:

  • 要删除自定义项,请发出 revert webvpn customization Custom_Marketing CLI 命令。

  • 要删除徽标文件,请发出 revert webvpn webcontent /+CSCOU+/marketing.gif 命令。

  • 要删除书签,请发出 revert webvpn url-list Marketing_URL_List 命令。

  • 要删除所有自定义项、web 内容、插件和书签,请发出 revert webvpn all 命令。

注意: 由于 WebVPN 自定义项不会保存在运行配置中,因此典型的 write erase、重新加载顺序不会从 ASA 中清除自定义项或 web 内容。您必须显式发出 revert webvpn 命令或从 ASDM 中手动删除自定义项。

备份自定义项

与其他 CLI 命令不同的是,自定义项不会保存在运行配置中。相反,您需要显式导出自定义项,然后它们会以 XML 格式保存至主机计算机中。

图 36:将自定义项导出到备份或将其复制到其他 ASA

/image/gif/paws/100586/asa5500_portal_customization36.gif

要恢复自定义项,请通过上一步中获得的 XML 文件导入它们。

图 37:从之前导出的 XML 文件导入自定义项

/image/gif/paws/100586/asa5500_portal_customization37.gif

注意: 除了导出/导入自定义项外,您还需要显式手动备份/恢复 web 内容,这包括图像文件、帮助文件和缩略图图像。否则,自定义将不能完全发挥功能。

结论

使用 ASA 版本 8.0 中引入的高级自定义功能可以开发极具吸引力的 Web 门户页。您可以通过为不同的组创建不同的自定义 Web 门户以实现虚拟化。此外,您可以完全自定义登录页,以使其外观匹配常规 intranet web 门户,从而提供一致的用户体验。

故障排除

在WebVPN自定义启用后,您也许收到此错误消息:

%ERROR: csco_config.lua:36: csco_config.lua:552: copying
'disk0:/csco_config/locale/ja/LC_MESSAGES/PortForwarder.po' to a temporary ramfs file
failed

%ERROR: csco_config.lua:36: csco_config.lua:552: copying
'disk0:/csco_config/locale/ja/LC_MESSAGES/webvpn.po' to a temporary ramfs file failed

%ERROR: csco_config.lua:36: csco_config.lua:552: copying
'disk0:/csco_config/locale/fr/LC_MESSAGES/customization.po' to a temporary ramfs file
failed.

为了解决此问题,请运行all命令恢复的WebVPN,并且重新加载ASA。


相关信息


Document ID: 100586