ASA 8.0 SSLVPN (WebVPN) : Personnalisation avancée de portails

Introduction

La version de logiciel 8.0 du serveur de sécurité adaptatif dédié de la gamme Cisco ASA 5550 présente des caractéristiques avancées de personnalisation qui activent le développement des portails de Web attrayants pour les utilisateurs sans client. Ce document détaille les nombreuses options disponibles pour personnaliser la page de connexion, ou écran de bienvenue, et la page de portail Web.

Conditions préalables

Conditions requises

Cisco recommande que vous ayez la connaissance de la façon utiliser le Cisco Adaptive Security Device Manager (ASDM) afin de configurer des stratégies de groupe et des profils de connexion sur l'ASA.

Référez-vous à ces documents pour information les informations générales :

• La section sans client de configuration de VPN SSL du guide de configuration de ligne de commande d'appareils de sécurité Cisco, version 8.0

• Guide utilisateur ASDM 6.0

Avant d'installer un portail web personnalisé, vous devez se terminer quelques étapes de base de configuration ASA. Voyez la section de configurations requises de ce pour en savoir plus de document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Version 8.x de Cisco ASA

• Version 6.x de Cisco ASDM

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurations requises

Vous devez configurer l'ASA en vue des étapes de personnalisation présentées dans ce document.

Procédez comme suit :

1. Dans l'ASDM, choisissez la configuration > l'Accès à distance VPN > VPN SSL sans client Access > stratégies de groupe afin de créer une stratégie de groupe, en lançant sur le marché par exemple, et cochez la case sans client de VPN SSL sous le protocole de Tunnellisation.

   Figure 1 : Créez une nouvelle stratégie de groupe (la vente)

   

2. Choisissez la configuration > l'Accès à distance VPN > des profils sans client de VPN SSL > de connexion afin de créer un profil de connexion, tel que sslclient, avec les petits groupes requis de serveur d'authentification, serveur d'AAA par exemple, et assignez la stratégie de groupe marketing.

   Figure 2 : Créez un nouveau profil de connexion (sslclient)

   

3. Afin de continuer la configuration de profil de connexion, cliquez sur avancé et configurez un groupe-URL pour le profil de connexion.

   Figure 3 : Configurez les Group-URL pour le profil de connexion

   

   Remarque: Dans cet exemple, le groupe-URL est configuré dans trois formats différents. L'utilisateur peut entrer dans des n'importe quels d'entre eux afin de se connecter à l'ASA par le profil sslclient de connexion.

4. Choisissez la configuration > l'Accès à distance VPN > VPN SSL sans client Access > portail > personnalisation, et ajoutez ces deux objets de personnalisation :

   • Custom_Login

   • Custom_Marketing

   Figure 4 : Créez une nouvelle personnalisation (Custom_Login)

   

   Remarque:  La figure 4 montre comment créer l'objet de Custom_Login. Répétez les mêmes étapes afin d'ajouter l'objet de personnalisation de Custom_Marketing. Cependant, n'éditez pas ces objets de personnalisation à ce moment. De diverses options de configuration sont discutées dans les parties suivantes de ce document.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Aperçu de personnalisation

Dans un scénario sans client typique, un utilisateur distant écrit le FQDN de l'ASA dans un navigateur afin de se connecter la. De là, une page de connexion, ou l'écran de bienvenue, paraît. Après l'authentification réussie, les vues standard un portail web avec toutes les applications autorisées.

Dans les versions plus tôt que 8.0, les supports de portail web personnalisation limitée, ainsi lui signifie que tous les utilisateurs ASA éprouvent les mêmes pages Web. Ces pages Web, avec les graphiques limités, sont beaucoup déviantes des pages typiques d'intranet.

Un meilleurs aspect et impression

L'ASA introduit une pleine caractéristique de personnalisation, qui active l'intégration de la fonctionnalité de « procédure de connexion » avec vos pages Web existantes. En outre, il y a des améliorations significatives à la personnalisation du portail web. Les exemples dans ce document te permettent de personnaliser des pages ASA pour aller voir et pour se sentir semblables à vos pages existantes d'intranet, qui fournit une expérience utilisateur plus cohérente quand des pages ASA sont parcourues.

Virtualisation

Les diverses options de personnalisation renforce la capacité de l'ASA de fournir la virtualisation pendant l'expérience utilisateur. Par exemple, un groupe marketing peut être présenté avec une page de connexion et un portail web qui ont un aspect et une impression complètement différents que les pages présentées aux ventes ou machinantes des groupes.

Pages prises en charge

L'ASA prend en charge deux types différents de pages de webvpn qui sont personnalisables.

Page de connexion

Quand un utilisateur écrit le groupe-URL de https://asa.cisco.com/sslclient dans un navigateur afin de se connecter à l'ASA, cette page de connexion par défaut paraît :

Figure 5 : Page de connexion par défaut

Afin de modifier cette page de connexion, vous éditez la personnalisation associée avec le profil de connexion. L'étape nécessaire pour modifier cette personnalisation apparaissent dans la section de page de connexion de personnaliser de ce document. Pour l'instant, terminez-vous ces étapes :

1. Choisissez la configuration > l'Accès à distance VPN > VPN SSL sans client Access > profils de connexion.

2. Éditez le profil sslclient de connexion, et associez la personnalisation de Custom_Login avec ce profil de connexion.

Figure 6 : Associez la personnalisation (Custom_Login) avec le profil de connexion (sslclient)

Page du portail

Après que l'utilisateur soit authentifié, ce par défaut¹ page de portail web apparaît :

Figure 7 : Page du portail par défaut

1. ^{Ceci suppose que toutes les connexions (VNC, AIC, SSH et RDP) sont activés. Si les connexions ne sont pas activées, vous ne noteriez pas leurs onglets.}

Afin de modifier ce portail web, vous éditez la personnalisation associée avec la stratégie de groupe. L'étape nécessaire pour modifier cette personnalisation apparaissent dans le portail web de personnaliser de ce document. Pour l'instant, terminez-vous ces étapes :

1. Choisissez la configuration > l'Accès à distance VPN > VPN SSL sans client Access > stratégies de groupe.

2. Éditez la stratégie de groupe marketing, et associez la personnalisation de Custom_Marketing avec cette stratégie de groupe.

Figure 8 : Personnalisation d'associé (Custom_Marketing) avec la stratégie de groupe (vente)

Remarque: De plusieurs profils de connexion, chacun avec leur propre modèle d'authentification, tel que le RAYON, LDAP, ou Certificats, peuvent être associés avec une stratégie de groupe simple. Par conséquent, vous avez l'option de créer de plusieurs pages de connexion, par exemple une personnalisation de procédure de connexion pour chaque profil de connexion, et elles peuvent tout être associées avec la même personnalisation de portail web qui est associée avec la stratégie de groupe marketing.

Personnalisez le portail web

C'est un portail web personnalisé par échantillon :

Figure 9 : Page personnalisée de portail web

Notez que la page sur le marché a un titre avec un modèle de couleurs de gradient, un logo pour lancer, quelques signets de Web avec des aperçus, un flux RSS et une page faite sur commande d'intranet. La page faite sur commande d'intranet permet à l'utilisateur pour naviguer leur page d'intranet et pour utiliser simultanément les autres onglets sur le portail web.

Remarque: Vous devez toujours retenir la disposition de page Web avec le dessus et les trames gauches, ainsi il signifie que, à proprement parler, cette page n'est pas entièrement personnalisable. Vous pouvez changer beaucoup de petits composants pour obtenir vous fermez aussi un aspect comme possible à vos portails d'intranet.

Couvertures de cette section comment configurer chaque composant individuel dans le portail web avec l'éditeur de personnalisation dans l'ASDM.

Panneau de titre

Figure 10 : Panneau de titre

Afin de configurer le panneau de titre, ces options de personnalisation sont activées :

Figure 11 : Éditeur de personnalisation : Configuration de panneau de titre

URL de logo

Afin de personnaliser le logo dans le panneau de titre, téléchargez l'image de logo à l'ASA.

Figure 12 : Fichier marketing.gif de logo de téléchargement comme Webcontent à l'ASA

1. Choisissez le VPN SSL sans client Access > portail > contenus Web, cliquez sur l'importation, et fournissez le chemin au fichier de logo sur votre ordinateur local. Téléchargez-le comme contenu Web dans le répertoire/+CSCOU+/.

2. Écrivez l'URL de logo/+CSCOU+/marketing.gif, suivant les indications de Figure12.

3. Écrivez le marketing ASA VPN comme texte.

4. Cliquez sur… le bouton afin de choisir la couleur de police et la couleur d'arrière plan.

5. Permettez à l'option de gradient afin de créer un modèle progressif attrayant de couleur.

Barre d'outils

Figure 13 : Barre d'outils personnalisée

Afin de configurer ces adresse/barre d'outils, éditez ces options de personnalisation :

Figure 14 : Éditeur de personnalisation : Configuration de barre d'outils

Remarque: Par défaut la barre d'outils est activée. Dans cet exemple, les champs restants, tels que le titre de case prompte, texte de bouton Parcourir, et demande de déconnexion sont renommés, comme affiché.

Web-signets avec des aperçus

Figure 15 : Signets personnalisés avec des aperçus

Afin d'ajouter des aperçus à côté des signets, terminez-vous ces étapes :

1. Téléchargez l'image requise au répertoire/+CSCOU+/.

   Figure 16 : Téléchargez l'image miniature pour s'associer avec des signets

   

2. Associez l'image miniature avec des signets ASA.

   1. Choisissez le portail > les signets.

   2. Cliquez sur Add. Entrez dans les demandes de nom de liste de signet.

   3. Cliquez sur Add. Écrivez le marketing ASA pour le titre de signet.

   4. Entrez dans http://cisco.com/go/asa comme valeur URL, et choisissez les options avancées.

   5. Le clic gèrent. Choisissez l'aperçu précédemment téléchargé /+CSCOU+/5550-1.gif, et cliquez sur OK.

      Figure 17 : Aperçus d'associé avec des signets

      

3. Associez les signets avec la stratégie de groupe ASA.

   1. Choisissez la configuration > l'Accès à distance VPN > VPN SSL sans client Access > stratégies de groupe, et éditez la politique de marché.

   2. Choisissez le portail. Décochez héritent à côté de la liste de signet, et sélectionnent des applications du menu déroulant.

      Figure 18 : Signets d'associé avec la stratégie de groupe (vente)

      

Volets faits sur commande : Flux RSS

Figure 19 : Flux RSS personnalisé

Afin d'afficher un flux RSS fait sur commande, éditez ces éléments de personnalisation :

Figure 20 : Volets faits sur commande : Configuration de flux RSS

Remarque: Flux RSS pour l'avis de sécurité Cisco : http://newsroom.cisco.com/data/syndication/rss2/SecurityAdvisories_20.xml.

Volets faits sur commande : Page faite sur commande d'intranet

Figure 21 : Page Web personnalisée d'intranet

Afin de configurer cette page Web faite sur commande d'intranet, éditez ces éléments de personnalisation :

Figure 22 : Éditeur de personnalisation : Configuration faite sur commande de volets

Remarque: URL pour la page de Cisco CCO : http://cisco.com/en/US/netsol.

Noms d'onglet d'application personnalisée

Figure 23 : Noms d'onglet d'application personnalisée

Afin de configurer des noms d'onglet d'application, éditez ces éléments de personnalisation :

Figure 24 : Personnalisez les noms d'onglet d'application

Remarque: Vous activez sélectivement les applications et les réarrangez également avec en haut et en bas les liens.

Aperçus d'application personnalisée

Figure 25 : Aperçus d'application personnalisée

Afin d'ajouter vos aperçus préférés à côté des noms d'application, tels que les icônes dans l'exemple, se terminent ces étapes :

1. De la page du portail, cliquez avec le bouton droit l'image miniature par défaut pour trouver son nom et emplacement.

   • Pour l'onglet de maison, l'emplacement d'image miniature est/+CSCOU+/nv-home.gif.

   • Pour l'onglet d'applications Web, l'emplacement d'aperçu est/+CSCOU+/nv-web-access.gif.

2. Importez l'image désirée comme contenu Web à l'ASA avec le nom capturé dans l'étape un.

   Par exemple, si vous voulez associer disney.gif avec l'onglet d'applications Web, importez-le comme nv-web-access.gif.

   Figure 26 : Aperçus d'importation pour des onglets d'application

   

Pages personnalisées d'aide pour des applications

Par défaut, Cisco fournit des fichiers d'aide pour l'utilisation d'application. Ces pages peuvent être remplacées par vos propres pages HTML faites sur commande. Par exemple, dans la figure 27, vous pouvez ajouter une image faite sur commande à la page d'aide.

Figure 27 : Page personnalisée d'aide

Afin de personnaliser les fichiers d'aide, terminez-vous ces étapes :

1. Choisissez le portail > la personnalisation d'aide, et cliquez sur l'importation.

2. Sélectionnez le langage.

3. Sélectionnez le fichier .inc. Par exemple, si vous voulez éditer la page d'aide qui correspond à l'onglet d'accès d'application Web, sélectionnez le fichier web-access-hlp.inc.

4. Choisissez votre fichier HTML fait sur commande.

   Figure 28 : Fichiers d'aide personnalisés par importation pour l'application Access

   

Testez la personnalisation

En ce moment, connectez-vous l'ASA chez https://asa.cisco.com/sslclient. Après l'authentification réussie, vous le portail web personnalisé apparaît.

Personnalisez la page de connexion

C'est la page de connexion par défaut :

Figure 29 : Page de connexion par défaut

C'est une page de connexion entièrement personnalisée :

Figure 30 : Page de connexion entièrement personnalisée

La nouvelle page de connexion inclut un logo, un titre, et une image personnalisés avec la procédure de connexion/boîte de dialogue de mot de passe. La page de connexion est entièrement personnalisable, qui signifie que vous pouvez établir n'importe quelle page HTML et insérez la procédure de connexion/boîte de dialogue de mot de passe à l'emplacement désiré.

Remarque: Tandis que la page de connexion entière est personnalisable, la procédure de connexion/boîte de dialogue de mot de passe spécifiques que les chargements ASA à l'utilisateur n'est pas entièrement personnalisable.

Avec la pleine personnalisation, vous pouvez fournir le HTML pour votre propre écran de connexion, et puis insérez code HTML de Cisco qui appelle les fonctions sur les dispositifs de sécurité qui créent la forme de procédure de connexion et la liste déroulante de sélecteur de langage.

Les sections suivantes de ce document décrivent les modifications exigées dans code HTML et les tâches exigés pour configurer les dispositifs de sécurité pour utiliser le nouveau code.

Début avec votre propre fichier HTML

Ce HTML a été obtenu de l'éditeur de Microsoft Frontpage. Il inclut le titre, le logo personnalisé, une image et un bas de page.

Remarque: Les images 5550.gif et asa.gif sont enregistrées dans les login_files de répertoire. Les espaces sont intentionnels, et sont remplacés par la procédure de connexion/boîte de dialogue de mot de passe dans les étapes postérieures.

En ce moment, la page ressemble à la figure 31. Avis comment il inclut l'espace pour permettre la mise en place de la boîte de dialogue dans de futures étapes.

Figure 31 : Page Web initiale

Modifiez les liens à l'emplacement d'image

Pour toutes les images, remplacez le chemin par le mot clé/+CSCOU+/, qui est un répertoire interne dans l'ASA. Quand vous téléchargez une image à l'ASA, l'image est enregistrée dans le répertoire interne/+CSCOU+/dans le système de fichiers ASA. Plus tard, quand l'ASA charge ce HTML modifié, il charge les fichiers d'image correctement.

Figure 32 : Code HTML modifié

Remarque: Dans le premier lien, login_files/5550.gif est remplacé par /+CSCOU+/5550.gif.

Renommez le fichier HTML

L'étape suivante est de renommer ce fichier de login.html à login.inc.

L'extension .inc est exigée de sorte que l'ASA identifie ceci comme type particulier de fichier et inclue le JAVASCRIPT nécessaire pour prendre en charge la procédure de connexion/boîte de dialogue de mot de passe.

Ajoutez le code au fichier login.inc

Ce code HTML doit être ajouté à l'emplacement où vous voulez afficher la procédure de connexion/boîte de dialogue de mot de passe.

<body onload="csco_ShowLoginForm('lform');
   csco_ShowLanguageSelector('selector')" 
bgcolor="white">

<table> <tr><td colspan=3 height=20 align=right>

<div id="selector" style="width: 300px"></div> </td></tr>

<tr> <td align=middle valign=middle>

<div id=lform>

Loading...

</div> </td> </tr> </table>

Remarque: Csco_ShowLoginForm(lform) et le csco_ShowLanguageSelector(selector) le de deux premier fonctions sont deux fonctions de JAVASCRIPT dont la définition est importée par ASA quand elle rend le fichier .inc. En ce code, vous appelez simplement la fonction afin d'afficher la procédure de connexion/boîte de dialogue de mot de passe avec le sélecteur de langage.

Remarque: La boîte de dialogue est représentée comme élément de table. Ceci peut être enroulé autour des autres images ou texte ou être aligné pendant que vous voyez l'adaptation pour votre page HTML.

Dans ce scénario, la procédure de connexion/boîte de dialogue de mot de passe apparaît au-dessus de l'image d'asa.gif au centre. Quand vous insérez le code, la page HTML finale ressemble à ceci :

Téléchargez le login.inc et les fichiers d'image comme contenu Web à l'ASA

L'étape suivante est de télécharger le fichier de la finale login.inc et les fichiers d'image comme webcontents à l'ASA. Vous devez veiller à sélectionner l'option inférieure afin de sauvegarder les fichiers dans/+CSCOU + répertoire.

Figure 33 : Importez les fichiers d'image comme Webcontent à l'ASA

Sélectionnez le login.inc pour être le fichier pour la pleine personnalisation

En conclusion, dans l'éditeur de personnalisation, sélectionnez le plein onglet de personnalisation, et fournissez un lien au fichier login.inc que vous avez téléchargé. Quand l'utilisateur se connecte d'un profil de connexion qui est associé avec cette personnalisation, telle que sslclient, l'utilisateur voit la page de connexion entièrement personnalisée.

Figure 34 : Associez le login.inc pour être le fichier pour la pleine personnalisation

Testez la pleine personnalisation

Quand vous vous connectez à l'ASA par https://asa.cisco.com/sslclient, la page de connexion entièrement personnalisée paraît.

Figure 35 : Page de connexion entièrement personnalisée de finale

Support CLI

Comme expliqué, toutes les personnalisations sont éditées avec l'ASDM. Cependant, vous pouvez encore employer ces commandes CLI afin de supprimer les personnalisations et tout autre contenu de webvpn :

retournez le webvpn :

all                Revert all webvpn related data
  customization      Revert customization file
  plug-in            Revert plug-in options
  translation-table  Revert translation table
  url-list           Revert a list of URLs for use with WebVPN
  webcontent         Revert webcontent

Exemple :

• Afin de supprimer une personnalisation, émettez la commande de Custom_Marketing CLI de personnalisation de webvpn de retour.

• Afin de supprimer le fichier de logo, émettez la commande webcontent du webvpn/+CSCOU+/marketing.gif de retour.

• Afin de supprimer les signets, émettez la commande de Marketing_URL_List d'url-list de webvpn de retour.

• Afin de supprimer toutes les personnalisations, les webcontents, des connexions, et des signets, émettent le webvpn de retour toute la commande.

Remarque: Puisque les personnalisations de webvpn ne sont pas enregistrées en configuration en cours, une write erase typique, ordre de recharge n'efface pas des personnalisations ou des webcontents de l'ASA. Vous devez explicitement émettre retournez des commandes de webvpn ou supprimez manuellement les personnalisations de l'ASDM.

Sauvegarde les personnalisations

À la différence des autres commandes CLI, les personnalisations ne sont pas enregistrées en configuration en cours. Au lieu de cela, vous devez exporter explicitement les personnalisations, et ils sont enregistrés dans le format XML à l'ordinateur hôte.

Figure 36 : Sauvegarde ou réplique de personnalisation d'exportation à une autre ASA

Afin de restaurer les personnalisations, importez-les avec le fichier XML obtenu dans l'étape précédente.

Figure 37 : Importez une personnalisation à partir d'un fichier XML précédemment exporté

Remarque: En plus d'exporter/important la personnalisation, vous avez besoin également manuellement de sauvegarde/de restauration le webcontent, qui inclut les fichiers d'image, les fichiers d'aide, et les images miniatures, explicitement. Autrement, la personnalisation ne sont pas entièrement - fonctionnelle.

Conclusion

Les caractéristiques avancées de personnalisation introduites dans la version 8.0 ASA activent le développement des pages Web-portailes attrayantes. Vous pouvez réaliser la virtualisation en créant différents portails web personnalisés pour différents groupes. En outre, la page de connexion peut être entièrement personnalisée pour apparier les portails web réguliers d'intranet qui fournit une expérience utilisateur cohérente.

Dépannez

Vous pourriez recevoir ce message d'erreur après que la personnalisation de webvpn soit activée :

%ERROR: csco_config.lua:36: csco_config.lua:552: copying
'disk0:/csco_config/locale/ja/LC_MESSAGES/PortForwarder.po' to a temporary ramfs file
failed

%ERROR: csco_config.lua:36: csco_config.lua:552: copying
'disk0:/csco_config/locale/ja/LC_MESSAGES/webvpn.po' to a temporary ramfs file failed

%ERROR: csco_config.lua:36: csco_config.lua:552: copying
'disk0:/csco_config/locale/fr/LC_MESSAGES/customization.po' to a temporary ramfs file
failed.

Afin de résoudre ce problème, exécutez le webvpn de retour toute la commande, et rechargez l'ASA.

Informations connexes

• Page de support pour appliances de sécurité adaptables de la gamme Cisco 5500
• Personnaliser les pages sans client de VPN SSL
• ASA 8.0 : Comment modifier le logo de WebVPN
• Support et documentation techniques - Cisco Systems