Avez-vous un compte?
La version de logiciel 8.0 du serveur de sécurité adaptatif dédié de la gamme Cisco ASA 5550 présente des caractéristiques avancées de personnalisation qui activent le développement des portails de Web attrayants pour les utilisateurs sans client. Ce document détaille les nombreuses options disponibles pour personnaliser la page de connexion, ou écran de bienvenue, et la page de portail Web.
Cisco recommande que vous ayez la connaissance de la façon utiliser le Cisco Adaptive Security Device Manager (ASDM) afin de configurer des stratégies de groupe et des profils de connexion sur l'ASA.
Référez-vous à ces documents pour information les informations générales :
La section sans client de configuration de VPN SSL du guide de configuration de ligne de commande d'appareils de sécurité Cisco, version 8.0
Avant d'installer un portail web personnalisé, vous devez se terminer quelques étapes de base de configuration ASA. Voyez la section de configurations requises de ce pour en savoir plus de document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Version 8.x de Cisco ASA
Version 6.x de Cisco ASDM
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Vous devez configurer l'ASA en vue des étapes de personnalisation présentées dans ce document.
Procédez comme suit :
Dans l'ASDM, choisissez la configuration > l'Accès à distance VPN > VPN SSL sans client Access > stratégies de groupe afin de créer une stratégie de groupe, en lançant sur le marché par exemple, et cochez la case sans client de VPN SSL sous le protocole de Tunnellisation.
Figure 1 : Créez une nouvelle stratégie de groupe (la vente)
Choisissez la configuration > l'Accès à distance VPN > des profils sans client de VPN SSL > de connexion afin de créer un profil de connexion, tel que sslclient, avec les petits groupes requis de serveur d'authentification, serveur d'AAA par exemple, et assignez la stratégie de groupe marketing.
Figure 2 : Créez un nouveau profil de connexion (sslclient)
Afin de continuer la configuration de profil de connexion, cliquez sur avancé et configurez un groupe-URL pour le profil de connexion.
Figure 3 : Configurez les Group-URL pour le profil de connexion
Remarque: Dans cet exemple, le groupe-URL est configuré dans trois formats différents. L'utilisateur peut entrer dans des n'importe quels d'entre eux afin de se connecter à l'ASA par le profil sslclient de connexion.
Choisissez la configuration > l'Accès à distance VPN > VPN SSL sans client Access > portail > personnalisation, et ajoutez ces deux objets de personnalisation :
Custom_Login
Custom_Marketing
Remarque: La figure 4 montre comment créer l'objet de Custom_Login. Répétez les mêmes étapes afin d'ajouter l'objet de personnalisation de Custom_Marketing. Cependant, n'éditez pas ces objets de personnalisation à ce moment. De diverses options de configuration sont discutées dans les parties suivantes de ce document.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Dans un scénario sans client typique, un utilisateur distant écrit le FQDN de l'ASA dans un navigateur afin de se connecter la. De là, une page de connexion, ou l'écran de bienvenue, paraît. Après l'authentification réussie, les vues standard un portail web avec toutes les applications autorisées.
Dans les versions plus tôt que 8.0, les supports de portail web personnalisation limitée, ainsi lui signifie que tous les utilisateurs ASA éprouvent les mêmes pages Web. Ces pages Web, avec les graphiques limités, sont beaucoup déviantes des pages typiques d'intranet.
L'ASA introduit une pleine caractéristique de personnalisation, qui active l'intégration de la fonctionnalité de « procédure de connexion » avec vos pages Web existantes. En outre, il y a des améliorations significatives à la personnalisation du portail web. Les exemples dans ce document te permettent de personnaliser des pages ASA pour aller voir et pour se sentir semblables à vos pages existantes d'intranet, qui fournit une expérience utilisateur plus cohérente quand des pages ASA sont parcourues.
Les diverses options de personnalisation renforce la capacité de l'ASA de fournir la virtualisation pendant l'expérience utilisateur. Par exemple, un groupe marketing peut être présenté avec une page de connexion et un portail web qui ont un aspect et une impression complètement différents que les pages présentées aux ventes ou machinantes des groupes.
L'ASA prend en charge deux types différents de pages de webvpn qui sont personnalisables.
Quand un utilisateur écrit le groupe-URL de https://asa.cisco.com/sslclient dans un navigateur afin de se connecter à l'ASA, cette page de connexion par défaut paraît :
Figure 5 : Page de connexion par défaut
Afin de modifier cette page de connexion, vous éditez la personnalisation associée avec le profil de connexion. L'étape nécessaire pour modifier cette personnalisation apparaissent dans la section de page de connexion de personnaliser de ce document. Pour l'instant, terminez-vous ces étapes :
Choisissez la configuration > l'Accès à distance VPN > VPN SSL sans client Access > profils de connexion.
Éditez le profil sslclient de connexion, et associez la personnalisation de Custom_Login avec ce profil de connexion.
Après que l'utilisateur soit authentifié, ce par défaut1 page de portail web apparaît :
Figure 7 : Page du portail par défaut
1. Ceci suppose que toutes les connexions (VNC, AIC, SSH et RDP) sont activés. Si les connexions ne sont pas activées, vous ne noteriez pas leurs onglets.
Afin de modifier ce portail web, vous éditez la personnalisation associée avec la stratégie de groupe. L'étape nécessaire pour modifier cette personnalisation apparaissent dans le portail web de personnaliser de ce document. Pour l'instant, terminez-vous ces étapes :
Choisissez la configuration > l'Accès à distance VPN > VPN SSL sans client Access > stratégies de groupe.
Éditez la stratégie de groupe marketing, et associez la personnalisation de Custom_Marketing avec cette stratégie de groupe.
Remarque: De plusieurs profils de connexion, chacun avec leur propre modèle d'authentification, tel que le RAYON, LDAP, ou Certificats, peuvent être associés avec une stratégie de groupe simple. Par conséquent, vous avez l'option de créer de plusieurs pages de connexion, par exemple une personnalisation de procédure de connexion pour chaque profil de connexion, et elles peuvent tout être associées avec la même personnalisation de portail web qui est associée avec la stratégie de groupe marketing.
C'est un portail web personnalisé par échantillon :
Figure 9 : Page personnalisée de portail web
Notez que la page sur le marché a un titre avec un modèle de couleurs de gradient, un logo pour lancer, quelques signets de Web avec des aperçus, un flux RSS et une page faite sur commande d'intranet. La page faite sur commande d'intranet permet à l'utilisateur pour naviguer leur page d'intranet et pour utiliser simultanément les autres onglets sur le portail web.
Remarque: Vous devez toujours retenir la disposition de page Web avec le dessus et les trames gauches, ainsi il signifie que, à proprement parler, cette page n'est pas entièrement personnalisable. Vous pouvez changer beaucoup de petits composants pour obtenir vous fermez aussi un aspect comme possible à vos portails d'intranet.
Couvertures de cette section comment configurer chaque composant individuel dans le portail web avec l'éditeur de personnalisation dans l'ASDM.
Afin de configurer le panneau de titre, ces options de personnalisation sont activées :
Figure 11 : Éditeur de personnalisation : Configuration de panneau de titre
Afin de personnaliser le logo dans le panneau de titre, téléchargez l'image de logo à l'ASA.
Figure 12 : Fichier marketing.gif de logo de téléchargement comme Webcontent à l'ASA
Choisissez le VPN SSL sans client Access > portail > contenus Web, cliquez sur l'importation, et fournissez le chemin au fichier de logo sur votre ordinateur local. Téléchargez-le comme contenu Web dans le répertoire/+CSCOU+/.
Écrivez l'URL de logo/+CSCOU+/marketing.gif, suivant les indications de Figure12.
Écrivez le marketing ASA VPN comme texte.
Cliquez sur… le bouton afin de choisir la couleur de police et la couleur d'arrière plan.
Permettez à l'option de gradient afin de créer un modèle progressif attrayant de couleur.
Afin de configurer ces adresse/barre d'outils, éditez ces options de personnalisation :
Figure 14 : Éditeur de personnalisation : Configuration de barre d'outils
Remarque: Par défaut la barre d'outils est activée. Dans cet exemple, les champs restants, tels que le titre de case prompte, texte de bouton Parcourir, et demande de déconnexion sont renommés, comme affiché.
Afin d'ajouter des aperçus à côté des signets, terminez-vous ces étapes :
Téléchargez l'image requise au répertoire/+CSCOU+/.
Figure 16 : Téléchargez l'image miniature pour s'associer avec des signets
Associez l'image miniature avec des signets ASA.
Choisissez le portail > les signets.
Cliquez sur Add. Entrez dans les demandes de nom de liste de signet.
Cliquez sur Add. Écrivez le marketing ASA pour le titre de signet.
Entrez dans http://cisco.com/go/asa comme valeur URL, et choisissez les options avancées.
Le clic gèrent. Choisissez l'aperçu précédemment téléchargé /+CSCOU+/5550-1.gif, et cliquez sur OK.
Figure 17 : Aperçus d'associé avec des signets
Associez les signets avec la stratégie de groupe ASA.
Choisissez la configuration > l'Accès à distance VPN > VPN SSL sans client Access > stratégies de groupe, et éditez la politique de marché.
Choisissez le portail. Décochez héritent à côté de la liste de signet, et sélectionnent des applications du menu déroulant.
Figure 18 : Signets d'associé avec la stratégie de groupe (vente)
Afin d'afficher un flux RSS fait sur commande, éditez ces éléments de personnalisation :
Figure 20 : Volets faits sur commande : Configuration de flux RSS
Remarque: Flux RSS pour l'avis de sécurité Cisco : http://newsroom.cisco.com/data/syndication/rss2/SecurityAdvisories_20.xml.
Afin de configurer cette page Web faite sur commande d'intranet, éditez ces éléments de personnalisation :
Figure 22 : Éditeur de personnalisation : Configuration faite sur commande de volets
Remarque: URL pour la page de Cisco CCO : http://cisco.com/en/US/netsol.
Afin de configurer des noms d'onglet d'application, éditez ces éléments de personnalisation :
Figure 24 : Personnalisez les noms d'onglet d'application
Remarque: Vous activez sélectivement les applications et les réarrangez également avec en haut et en bas les liens.
Afin d'ajouter vos aperçus préférés à côté des noms d'application, tels que les icônes dans l'exemple, se terminent ces étapes :
De la page du portail, cliquez avec le bouton droit l'image miniature par défaut pour trouver son nom et emplacement.
Pour l'onglet de maison, l'emplacement d'image miniature est/+CSCOU+/nv-home.gif.
Pour l'onglet d'applications Web, l'emplacement d'aperçu est/+CSCOU+/nv-web-access.gif.
Importez l'image désirée comme contenu Web à l'ASA avec le nom capturé dans l'étape un.
Par exemple, si vous voulez associer disney.gif avec l'onglet d'applications Web, importez-le comme nv-web-access.gif.
Figure 26 : Aperçus d'importation pour des onglets d'application
Par défaut, Cisco fournit des fichiers d'aide pour l'utilisation d'application. Ces pages peuvent être remplacées par vos propres pages HTML faites sur commande. Par exemple, dans la figure 27, vous pouvez ajouter une image faite sur commande à la page d'aide.
Figure 27 : Page personnalisée d'aide
Afin de personnaliser les fichiers d'aide, terminez-vous ces étapes :
Choisissez le portail > la personnalisation d'aide, et cliquez sur l'importation.
Sélectionnez le langage.
Sélectionnez le fichier .inc. Par exemple, si vous voulez éditer la page d'aide qui correspond à l'onglet d'accès d'application Web, sélectionnez le fichier web-access-hlp.inc.
Choisissez votre fichier HTML fait sur commande.
Figure 28 : Fichiers d'aide personnalisés par importation pour l'application Access
En ce moment, connectez-vous l'ASA chez https://asa.cisco.com/sslclient. Après l'authentification réussie, vous le portail web personnalisé apparaît.
C'est la page de connexion par défaut :
Figure 29 : Page de connexion par défaut
C'est une page de connexion entièrement personnalisée :
Figure 30 : Page de connexion entièrement personnalisée
La nouvelle page de connexion inclut un logo, un titre, et une image personnalisés avec la procédure de connexion/boîte de dialogue de mot de passe. La page de connexion est entièrement personnalisable, qui signifie que vous pouvez établir n'importe quelle page HTML et insérez la procédure de connexion/boîte de dialogue de mot de passe à l'emplacement désiré.
Remarque: Tandis que la page de connexion entière est personnalisable, la procédure de connexion/boîte de dialogue de mot de passe spécifiques que les chargements ASA à l'utilisateur n'est pas entièrement personnalisable.
Avec la pleine personnalisation, vous pouvez fournir le HTML pour votre propre écran de connexion, et puis insérez code HTML de Cisco qui appelle les fonctions sur les dispositifs de sécurité qui créent la forme de procédure de connexion et la liste déroulante de sélecteur de langage.
Les sections suivantes de ce document décrivent les modifications exigées dans code HTML et les tâches exigés pour configurer les dispositifs de sécurité pour utiliser le nouveau code.
Ce HTML a été obtenu de l'éditeur de Microsoft Frontpage. Il inclut le titre, le logo personnalisé, une image et un bas de page.
Remarque: Les images 5550.gif et asa.gif sont enregistrées dans les login_files de répertoire. Les espaces sont intentionnels, et sont remplacés par la procédure de connexion/boîte de dialogue de mot de passe dans les étapes postérieures.
En ce moment, la page ressemble à la figure 31. Avis comment il inclut l'espace pour permettre la mise en place de la boîte de dialogue dans de futures étapes.
Figure 31 : Page Web initiale
Pour toutes les images, remplacez le chemin par le mot clé/+CSCOU+/, qui est un répertoire interne dans l'ASA. Quand vous téléchargez une image à l'ASA, l'image est enregistrée dans le répertoire interne/+CSCOU+/dans le système de fichiers ASA. Plus tard, quand l'ASA charge ce HTML modifié, il charge les fichiers d'image correctement.
Figure 32 : Code HTML modifié
Remarque: Dans le premier lien, login_files/5550.gif est remplacé par /+CSCOU+/5550.gif.
L'étape suivante est de renommer ce fichier de login.html à login.inc.
L'extension .inc est exigée de sorte que l'ASA identifie ceci comme type particulier de fichier et inclue le JAVASCRIPT nécessaire pour prendre en charge la procédure de connexion/boîte de dialogue de mot de passe.
Ce code HTML doit être ajouté à l'emplacement où vous voulez afficher la procédure de connexion/boîte de dialogue de mot de passe.
<body onload="csco_ShowLoginForm('lform'); csco_ShowLanguageSelector('selector')" bgcolor="white"> <table> <tr><td colspan=3 height=20 align=right> <div id="selector" style="width: 300px"></div> </td></tr> <tr> <td align=middle valign=middle> <div id=lform> Loading... </div> </td> </tr> </table>
Remarque: Csco_ShowLoginForm(lform) et le csco_ShowLanguageSelector(selector) le de deux premier fonctions sont deux fonctions de JAVASCRIPT dont la définition est importée par ASA quand elle rend le fichier .inc. En ce code, vous appelez simplement la fonction afin d'afficher la procédure de connexion/boîte de dialogue de mot de passe avec le sélecteur de langage.
Remarque: La boîte de dialogue est représentée comme élément de table. Ceci peut être enroulé autour des autres images ou texte ou être aligné pendant que vous voyez l'adaptation pour votre page HTML.
Dans ce scénario, la procédure de connexion/boîte de dialogue de mot de passe apparaît au-dessus de l'image d'asa.gif au centre. Quand vous insérez le code, la page HTML finale ressemble à ceci :
L'étape suivante est de télécharger le fichier de la finale login.inc et les fichiers d'image comme webcontents à l'ASA. Vous devez veiller à sélectionner l'option inférieure afin de sauvegarder les fichiers dans/+CSCOU + répertoire.
Figure 33 : Importez les fichiers d'image comme Webcontent à l'ASA
En conclusion, dans l'éditeur de personnalisation, sélectionnez le plein onglet de personnalisation, et fournissez un lien au fichier login.inc que vous avez téléchargé. Quand l'utilisateur se connecte d'un profil de connexion qui est associé avec cette personnalisation, telle que sslclient, l'utilisateur voit la page de connexion entièrement personnalisée.
Figure 34 : Associez le login.inc pour être le fichier pour la pleine personnalisation
Quand vous vous connectez à l'ASA par https://asa.cisco.com/sslclient, la page de connexion entièrement personnalisée paraît.
Figure 35 : Page de connexion entièrement personnalisée de finale
Comme expliqué, toutes les personnalisations sont éditées avec l'ASDM. Cependant, vous pouvez encore employer ces commandes CLI afin de supprimer les personnalisations et tout autre contenu de webvpn :
retournez le webvpn :
all Revert all webvpn related data customization Revert customization file plug-in Revert plug-in options translation-table Revert translation table url-list Revert a list of URLs for use with WebVPN webcontent Revert webcontent
Exemple :
Afin de supprimer une personnalisation, émettez la commande de Custom_Marketing CLI de personnalisation de webvpn de retour.
Afin de supprimer le fichier de logo, émettez la commande webcontent du webvpn/+CSCOU+/marketing.gif de retour.
Afin de supprimer les signets, émettez la commande de Marketing_URL_List d'url-list de webvpn de retour.
Afin de supprimer toutes les personnalisations, les webcontents, des connexions, et des signets, émettent le webvpn de retour toute la commande.
Remarque: Puisque les personnalisations de webvpn ne sont pas enregistrées en configuration en cours, une write erase typique, ordre de recharge n'efface pas des personnalisations ou des webcontents de l'ASA. Vous devez explicitement émettre retournez des commandes de webvpn ou supprimez manuellement les personnalisations de l'ASDM.
À la différence des autres commandes CLI, les personnalisations ne sont pas enregistrées en configuration en cours. Au lieu de cela, vous devez exporter explicitement les personnalisations, et ils sont enregistrés dans le format XML à l'ordinateur hôte.
Figure 36 : Sauvegarde ou réplique de personnalisation d'exportation à une autre ASA
Afin de restaurer les personnalisations, importez-les avec le fichier XML obtenu dans l'étape précédente.
Figure 37 : Importez une personnalisation à partir d'un fichier XML précédemment exporté
Remarque: En plus d'exporter/important la personnalisation, vous avez besoin également manuellement de sauvegarde/de restauration le webcontent, qui inclut les fichiers d'image, les fichiers d'aide, et les images miniatures, explicitement. Autrement, la personnalisation ne sont pas entièrement - fonctionnelle.
Les caractéristiques avancées de personnalisation introduites dans la version 8.0 ASA activent le développement des pages Web-portailes attrayantes. Vous pouvez réaliser la virtualisation en créant différents portails web personnalisés pour différents groupes. En outre, la page de connexion peut être entièrement personnalisée pour apparier les portails web réguliers d'intranet qui fournit une expérience utilisateur cohérente.
Vous pourriez recevoir ce message d'erreur après que la personnalisation de webvpn soit activée :
%ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/ja/LC_MESSAGES/PortForwarder.po' to a temporary ramfs file failed %ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/ja/LC_MESSAGES/webvpn.po' to a temporary ramfs file failed %ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/fr/LC_MESSAGES/customization.po' to a temporary ramfs file failed.
Afin de résoudre ce problème, exécutez le webvpn de retour toute la commande, et rechargez l'ASA.