Introduction
Commençant par AsyncOS 11.4 et continuant AsyncOS 12.x pour l'appliance de Gestion de la sécurité (SMA), l'interface utilisateur d'utilisateur web (UI) a subi une reconception aussi bien que le traitement interne des données. Le centre de cet article adresse des changements de la capacité de parcourir l'interface utilisateur d'utilisateur web nouvellement remodelée. L'implémentation d'une conception plus technologiquement avancée, Cisco a fonctionné pour améliorer l'expérience utilisateur.
Contribué par Chris Arellano, ingénieur TAC Cisco.
Conditions préalables
Remarque: L'interface de « Gestion » est l'interface par défaut, présentée pendant la première configuration sur le SMA. Du réseau > des interfaces IP, il ne permet pas la suppression. Pour cette raison, ce sera toujours l'interface par défaut qui entretient sera vérifiée.
Assurez que les articles suivants ont été vérifiés avant d'activer le trailblazerconfig :
- SMA a été amélioré et exécute la version 12.x d'AsyncOS (ou plus nouveau)
- Du réseau > des interfaces IP, l'interface de gestion a la Gestion d'appareils > le HTTPS activés
- La Gestion d'appareils > le port HTTPS doivent être ouverts sur le Pare-feu
- Du réseau > des interfaces IP, l'interface de gestion a AsyncOS API > HTTP et AsyncOS > HTTPS chacun des deux activés.
- AsyncOS API > HTTP et AsyncOS des ports API > HTTPS doivent être ouverts sur le Pare-feu
- Le port de « pionnier » doit être ouvert par le Pare-feu
- Assurez que les DN peuvent résoudre l'interface de gestion « adresse Internet »
- c.-à-d., le nslookup sma.hostname renvoie une adresse IP
- Assurez que les DN peuvent résoudre « ceci est l'interface par défaut pour la quarantaine » hostname/URL de Spam configurée pour accéder à la quarantaine de Spam
Pourquoi
12.x Le GUI de la nouvelle génération SMA (NGSMA) re-a été mis en application comme application d'une seule page (STATION THERMALE) qui obtient téléchargé sur le client (IE, Chrome, Firefox) pour améliorer l'expérience utilisateur. La STATION THERMALE communique à travers aux plusieurs serveurs internes du SMA, chacun exécutant un service différent.
Les restrictions de CORS (partage de ressources de Croix-origine) dans la transmission de STATION THERMALE au SMA entraînent quelques obstacles à la transmission entre les plusieurs modules.
Les serveurs internes sont accessibles par différents ports TCP numérotés par l'intermédiaire du NGSMA. Chaque port TCP exige d'une approbation distincte de certificat de communiquer au client. La capacité insuffisante de communiquer aux serveurs internes du NGSMA présente un problème.
Incidence
Les interfaces web de nouvelle génération comprenant « /euq-login » et « NG-procédure de connexion ».
État pour l'intégration du Solutions de sécurité pour neutraliser les menaces réseau Cisco d'AMP (CTR).
Solution
L'exemple simple des ports TCP représentant différents modules exige l'acceptation de certificat pour chaque port. Si un certificat signé de confiance n'existe pas sur le SMA, alors des acceptations de plusieurs certificat sont exigées pendant que le navigateur initie la transmission transparente aux modules. À un utilisateur qui peut ne pas comprendre le besoin de ports TCP 6443, 443, 4431, l'expérience peuvent potentiellement entraîner la confusion.
Pour se déplacer au delà de ces défis, Cisco a mis en application Nginx pour remplir une fonction de proxy entre le client (client de navigateur) et les serveurs (services accessibles par l'intermédiaire des ports spécifiques). Nginx (stylisé comme NGINX ou nginx) est un web server qui peut également être utilisé car un proxy inverse, un équilibreur de charge, un proxy de messagerie et un cache de HTTP.
Ceci condense la transmission à une acceptation simple de flot et de certificat de transmission.
Cisco a étiqueté la commande CLI d'activer cette fonctionnalité comme trailblazerconfig.
La première illustration affiche un exemple de deux serveurs en cours :
- Serveur HTTP:6080 et HTTPS:6443 API
- Serveur HTTP:80 et HTTPS:443 GUI
La transmission avec approbation du GUI à l'API exige l'approbation et l'accès de port.
STATION THERMALE et serveurs associés
La prochaine illustration incorpore le proxy de Nginx devant les processus API et GUI - éliminer le souci des transmissions restreintes.
STATION THERMALE, utilisant le proxy NGINX pour atteindre les serveurs associés
Ligne de commande exemples
Pleine aide :
sma.local> help trailblazerconfig
trailblazerconfig
Configure and check the trailblazer.
(Please make sure existing UI is functioning on https)
trailblazerconfig enable <https_port> <http_port>
trailblazerconfig disable
trailblazerconfig status
Sub-commands:
enable - Runs the trailblazer either on
default ports (https_port: 4431 and http_port: 801)
or optionally specified https_port and http_port
disable - Disable the trailblazer
status - Check the status of trailblazer
Options:
https_port - HTTPS port number, Optional
http_port - HTTP port number, Optional
État de contrôle :
sma.local> trailblazerconfig status
trailblazer is not running
Enable :
sma.local> trailblazerconfig enable
trailblazer is enabled.
To access the Next Generation web interface, use the port 4431 for HTTPS.
POST-enable, état de contrôle :
sma.local> trailblazerconfig status
trailblazer is running with https on port 4431.
Échantillon nommant la syntaxe
L'accès de Web activé par pionnier inclurait le port de pionnier dans l'adresse URL :
- Le portail de Gestion NGSMA apparaîtrait en tant que : https:// hostname:4431/ng-login
- Le portail d'End User Quarantine NGSMA (ou ISQ) apparaîtrait en tant que : https:// hostname:4431/euq-login
Dépannage
Quelques réalisations se concentrent sur l'interface secondaire pour des notifications de Spam. SI l'interface de gestion « adresse Internet » n'est pas résoluble dans des DN (c.-à-d., adresse Internet de nslookup), alors le pionnier n'initialisera pas.
Une action de confirmer immédiatement et service de restauration est d'ajouter une adresse Internet résoluble à l'interface de gestion. (Créez alors un enregistrement A pour résoudre correctement l'adresse Internet indiquée.)
Les restrictions de Sécurité de côté utilisateur empêchent l'accès de l'environnement de l'utilisateur vers le port TCP SMA 4431 :
- Testez pour s'assurer que le port est à la disposition du navigateur
- Entrez dans l'adresse Internet et mettez en communication en tant que :
https:// hostname:4431
Port TCP 443 non ouvert |
Port TCP 4431 ouvert et certificat reçu |
- IE11 : Cette page ne peut pas être affichée
- Chrome : Ce site ne peut pas être atteint. A refusé de se connecter
- Firefox : Incapable de se connecter
|
- IE : HTTP 406
- Chrome : {« erreur » : {« message » : « Non autorisé. », « code » : "401", « explication » : "401 = aucune autorisation -- voir les schémas d'autorisation. »}}
- Firefox : Demande de certificat (ACCEPT). Firefox : acceptation de certificat de courrier > « non autorisé. » 401
|
Syntaxe correcte URL :
- les systèmes activés parpionnier n'utiliseront pas le port 4431 dans le nom :
https:// hostname/ng-login
adresse Internet - ou de https:///euq-procédure de connexion
- Les systèmes activés par pionnier incluront le numéro de port 4431 dans le nom :
https:// hostname:4431/ng-login
- ou https:// hostname:4431/euq-login