ASA 8. 0 SSLVPN (WebVPN): Расширенная настройка портала

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Требования к конфигурации
      Условные обозначения
Обзор возможностей пользовательской настройки
      Улучшение восприятия интерфейса
      Виртуализация
      Поддерживаемые страницы
Пользовательская настройка web-портала
      Панель заголовка
      URL-адрес логотипа
      Панель инструментов
      Web-закладки с эскизами
      Пользовательские области: трансляция RSS
      Пользовательские области: пользовательская страница интрасети
      Пользовательские названия вкладок приложений
      Пользовательские эскизы приложений
      Пользовательские страницы справки для приложений
      Проверка пользовательской настройки
Пользовательская настройка страницы входа
      Подготовка собственного HTML-файла
      Изменение ссылок на место хранения изображений
      Переименование HTML-файла
      Добавление кода в файл login.inc
      Загрузка файла login.inc и файлов изображений в ASA в виде web-контента
      Выбор файла login.inc для полной пользовательской настройки
      Проверка полной пользовательской настройки
Поддержка интерфейса командной строки
Резервное копирование пользовательских настроек
Заключение
Поиск и устранение неполадок
Дополнительные сведения

---

Введение

В версии 8.0 программного обеспечения для устройств адаптивной защиты Cisco ASA серии 5500 введены развитые возможности пользовательской настройки, позволяющие создавать эстетичные web-порталы для пользователей с бесклиентским доступом. В этом документе рассмотрено множество доступных вариантов пользовательской настройки страницы входа в систему, также называемой экраном приветствия, и страницы web-портала.

Предварительные условия

Требования

Для настройки групповых политик и профилей подключения на ASA компания Cisco рекомендует ознакомиться с Менеджером устройств адаптивной защиты Cisco (ASDM).

Для получения общих сведений см. следующие документы:

• раздел Настройка бесклиентской сети VPN на основе SSL в Руководстве Cisco по настройке безопасности в командной строке, версия 8.0;

• Руководство пользователя ASDM 6.0.

Перед настройкой пользовательского web-портала необходимо выполнить несколько базовых шагов для настройки ASA. Для получения дополнительных сведений см. раздел Требования к конфигурации данного документа.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

• Cisco ASA версии 8.x

• Cisco ASDM версии 6.x

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Требования к конфигурации

Необходимо предварительно настроить устройство ASA для выполнения операций настройки, описанных в этом документе.

Выполните следующие действия:

1. Для создания групповой политики (например, Marketing) в ASDM выберите Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies (Конфигурация > VPN для удаленного доступа > Доступ по бесклиентской сети VPN на основе SSL > Групповые политики) и отметьте флажок Clientless SSL VPN (Бесклиентская сеть VPN на основе SSL) в разделе протоколов туннелирования.

   Рис. 1. Создание новой групповой политики (Marketing).

   

2. Для создания нового профиля подключения (например, sslclient) выберите Configuration > Remote Access VPN > Clientless SSL VPN > Connection Profiles (Конфигурация > VPN для удаленного доступа > Бесклиентская сеть VPN на основе SSL > Профили подключения), укажите необходимые реквизиты сервера аутентификации, например сервера AAA, и назначьте группу политик Marketing.

   Рис. 2. Создание нового профиля подключения (sslclient).

   

3. Для продолжения настройки профиля подключения выберите Advanced и укажите URL-адрес группы для профиля подключения.

   Рис. 3. Настройка URL-адресов группы для профиля подключения.

   

   Примечание. В этом примере URL-адрес группы настраивается в трех различных форматах. Для подключения к ASA посредством профиля подключения sslclient пользователь может ввести любой из них.

4. Выберите Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Customization (Конфигурация > VPN для удаленного доступа > Доступ по бесклиентской сети VPN на основе SSL > Портал > Пользовательская настройка) и добавьте два объекта пользовательской настройки:

   • Custom_Login

   • Custom_Marketing

   Рис. 4. Создание новой пользовательской настройки (Custom_Login).

   

   Примечание.  Рис. 4 иллюстрирует создание объекта Custom_Login. Повторите эти шаги для добавления объекта пользовательской настройки Custom_Marketing. Пока не редактируйте добавленные объекты. Разные варианты конфигурации обсуждаются в последующих разделах этого документа.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Обзор возможностей пользовательской настройки

В типичном бесклиентском сценарии удаленный пользователь вводит в браузере полное имя домена (FQDN) устройства ASA для регистрации на устройстве. При этом появляется страница входа в систему или экран приветствия. После успешного прохождения аутентификации пользователю становится доступен для просмотра web-портал со всеми разрешенными приложениями.

В версиях ниже 8.0 web-портал поддерживает ограниченные возможности пользовательской настройки: всем пользователям ASA представляется один и тот же набор web-страниц. Эти web-страницы имеют ограниченное графическое оформление и заметно отличаются от типичного вида страниц в интрасети.

Улучшение восприятия интерфейса

ASA предусматривает полноценные средства пользовательской настройки, позволяющие совместить функциональный механизм входа в систему с существующим набором web-страниц. Существенные усовершенствования претерпела и пользовательская настройка web-портала. Рассмотренные в этом документе примеры показывают настройку страницы ASA, позволяющую приблизить вид страниц ASA к существующим страницам интрасети для создания более последовательного пользовательского интерфейса при работе со страницами ASA.

Виртуализация

Гибкость пользовательской настройки подкрепляет возможности ASA в части виртуализации взаимодействия с пользователем. Например, страница входа в систему и web-портал, доступные группе маркетинга, могут полностью отличаться от внешнего вида страниц для групп, представляющих отдел продаж и проектный отдел.

Поддерживаемые страницы

ASA поддерживает два различных типа страниц WebVPN, которые являются настраиваемыми.

Страница входа в систему

Когда пользователь вводит в браузере URL-адрес группы https://asa.cisco.com/sslclient для подключения к устройству ASA, появляется следующая страница входа в систему по умолчанию:

Рис. 5. Страница входа по умолчанию.

Для изменения этой страницы входа в систему необходимо отредактировать конфигурацию, связанную с профилем подключения. Шаги, необходимые для изменения соответствующих настроек, описаны в разделе данного документа Пользовательская настройка страницы входа. Пока же выполните следующие действия:

1. Выберите Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles (Конфигурация > VPN для удаленного доступа > Доступ по бесклиентской сети VPN на основе SSL > Профили подключений).

2. Отредактируйте профиль подключения sslclient и свяжите с ним пользовательскую настройку Custom_Login.

Рис. 6. Связывание пользовательской настройки (Custom_Login) с профилем подключения (sslclient).

Страница портала

После того как пользователь пройдет аутентификацию, появится следующая страница web-портала по умолчанию¹:

Рис. 7. Страница портала по умолчанию.

^{1. Предполагается, что активны все подключаемые модули (VNC, ICA, SSH и RDP). Если подключаемые модули не активированы, то их вкладки будут отсутствовать.}

Для изменения этой страницы web-портала необходимо отредактировать настройку, связанную с групповой политикой. Шаги, необходимые для изменения соответствующих настроек, описаны в разделе данного документа Пользовательская настройка web-портала. Пока же выполните следующие действия:

1. Выберите Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies (Конфигурация > VPN для удаленного доступа > Доступ по бесклиентской сети VPN на основе SSL > Групповые политики).

2. Отредактируйте групповую политику Marketing и свяжите с ней пользовательскую настройку Custom_Marketing.

Рис. 8. Связывание пользовательской настройки (Custom_Marketing) с групповой политикой (Marketing).

Примечание. С одной групповой политикой можно связать несколько профилей соединений, каждый из которых будет иметь собственную схему аутентификации, например RADIUS, LDAP или сертификаты. Поэтому можно создать несколько страниц входа в систему, например предусмотрев индивидуальные настройки входа в систему для каждой конфигурации подключения, и связать их все с одной настройкой web-портала, которая связана с групповой политикой Marketing.

Пользовательская настройка web-портала

Ниже приведен пример пользовательской настройки web-портала.

Рис. 9. Пользовательская страница web-портала.

Можно заметить, что на странице имеются: заголовок с градиентной цветовой схемой, логотип отдела маркетинга, несколько web-закладок с эскизами, трансляция RSS и пользовательская страница интрасети. Пользовательская страница интрасети позволяет конечному пользователю перемещаться по своей странице интрасети и одновременно использовать другие вкладки на web-портале.

Примечание. Строго говоря, эта web-страница не настраиваема в полной мере: структура страницы с верхними и левыми экранными областями по-прежнему задана жестко. Можно изменить множество второстепенных компонентов для максимального приближения к виду порталов в интрасети.

Этот раздел освещает настройку каждого отдельного компонента в web-портале посредством редактора настройки в ASDM.

Панель заголовка

Рис. 10. Панель заголовка.

Для настройки панели заголовка действуют следующие параметры:

Рис. 11. Редактор пользовательских настроек. Конфигурация панели заголовка.

URL-адрес логотипа

Для настройки логотипа в панели заголовка загрузите изображение логотипа в устройство ASA.

Рис. 12. Загрузка файла логотипа marketing.gif в устройство ASA в качестве web-контента.

1. Выберите Clientless SSL VPN Access > Portal > Web Contents (Доступ по бесклиентской сети VPN на основе SSL > Портал > Web-контент), нажмите Import (Импортировать) и укажите путь к файлу логотипа на локальном компьютере. Загрузите это в каталог /+CSCOU+/ в качестве web-контента.

2. Введите URL-адрес логотипа /+CSCOU+/marketing.gif в виде, показанном на рис. 12.

3. В качестве текста введите ASA VPN Marketing.

4. Для выбора цвета шрифта и цвета фона нажмите кнопку ....

5. Для создания эстетичного цветового перехода включите параметр Gradient (Градиент).

Панель инструментов

Рис. 13. Панель инструментов с пользовательской настройкой.

Для настройки этого адреса/панели инструментов отредактируйте следующие параметры:

Рис. 14. Редактор пользовательских настроек. Пользовательская настройка панели инструментов.

Примечание. По умолчанию панель инструментов включена. В этом примере в соответствии с иллюстрацией переименовываются остальные поля, такие как Prompt Box Title (Заголовок поля приглашения), текст кнопки Browse (Обзор) и Logout Prompt (Приглашение при выходе из системы).

Web-закладки с эскизами

Рис. 15. Пользовательская настройка web-закладок с эскизами.

Для добавления эскизов рядом с закладками выполните следующие шаги:

1. Загрузите требуемое изображение в каталог /+CSCOU+/.

   Рис. 16. Загрузка эскиза, связываемого с закладками.

   

2. Свяжите эскиз с закладками ASA.

   1. Выберите Portal > Bookmarks (Портал > Закладки).

   2. Нажмите кнопку Add (Добавить). В поле Bookmark List Name (Наименование списка закладок) введите Applications (Приложения).

   3. Нажмите кнопку Add (Добавить). В поле Bookmark Title (Заголовок закладки) введите ASA Marketing (ASA-маркетинг).

   4. В качестве URL-адреса введите http://cisco.com/go/asa, затем выберите Advanced Options (Дополнительные параметры).

   5. Щелкните Manage (Управление). Выберите ранее загруженный эскиз /+CSCOU+/5550-1.gif и нажмите OK.

      Рис. 17. Связывание эскизов с закладками.

      

3. Свяжите закладки с групповой политикой ASA.

   1. Выберите Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies (Конфигурация > VPN для удаленного доступа > Доступ по бесклиентской сети VPN на основе SSL > Групповые политики) и отредактируйте политику Marketing.

   2. Выберите Portal (Портал). Снимите флажок Inherit рядом со списком закладок и выберите Applications (Приложения) в раскрывающемся меню.

      Рис. 18. Связывание закладок с групповой политикой (Marketing).

      

Пользовательские области: трансляция RSS

Рис. 19. Пользовательская трансляция RSS.

Для отображения пользовательской трансляции RSS отредактируйте следующие элементы настройки:

Рис. 20. Пользовательские области: настройка трансляции RSS.

Примечание. RSS-трансляция рекомендаций Cisco по вопросам безопасности: http://newsroom.cisco.com/data/syndication/rss2/SecurityAdvisories_20.xml.

Пользовательские области: пользовательская страница интрасети

Рис. 21. Пользовательская страница интрасети.

Для настройки пользовательской страницы интрасети отредактируйте следующие элементы:

Рис. 22. Редактор пользовательских настроек. Настройка пользовательских областей.

Примечание. URL-адрес страницы Cisco CCO: http://cisco.com/en/US/netsol.

Пользовательские названия вкладок приложений

Рис. 23. Пользовательские названия вкладок приложений.

Для настройки названий вкладок приложений отредактируйте следующие элементы:

Рис. 24. Пользовательская настройка названий вкладок приложений.

Примечание. Приложения можно выборочно активировать, а также переупорядочивать при помощи ссылок «вверх» и «вниз».

Пользовательские эскизы приложений

Рис. 25. Пользовательские эскизы приложений.

Для того чтобы сопроводить имена приложений эскизами предпочтительного вида, наподобие показанных в примере значков, выполните следующие шаги:

1. Со страницы портала щелкните правой кнопкой мыши на эскизе по умолчанию, чтобы найти его имя и местоположение.

   • На вкладке Home (Начало) местоположение эскиза – /+CSCOU+/nv-home.gif.

   • На вкладке Web Applications (Web-приложения) местоположение эскиза – /+CSCOU+/nv-web-access.gif.

2. Импортируйте требуемое изображение в ASA в виде web-контента с названием, зафиксированным на первом шаге.

   Например, если с вкладкой Web Applications (Web-приложения) требуется связать файл disney.gif, импортируйте его как nv-web-access.gif.

   Рис. 26. Импорт эскизов для вкладок приложений.

   

Пользовательские страницы справки для приложений

Компания Cisco поставляет файлы справки по умолчанию для использования в приложениях. Эти страницы можно заменить собственными пользовательскими HTML-страницами. Например, на рис. 27 можно добавить к странице справки собственное изображение.

Рис. 27. Пользовательская страница справки.

Для настройки файлов справки выполните следующие действия:

1. Выберите Portal > Help Customization (Портал > Пользовательская настройка справки) и щелкните Import (Импортировать).

2. Укажите язык в поле Language.

3. Выберите файл .inc. Например, для редактирования страницы справки, соответствующей вкладке доступа к web-приложениям, откройте файл web-access-hlp.inc.

4. Выберите пользовательский HTML-файл.

   Рис. 28. Импорт пользовательских файлов справки для доступа к приложениям.

   

Проверка пользовательских настроек

На этом этапе зайдите в устройство ASA по адресу: https://asa.cisco.com/sslclient. После успешной аутентификации появится web-портал с пользовательской настройкой.

Пользовательская настройка страницы входа

Это страница входа в систему по умолчанию:

Рис. 29. Страница входа по умолчанию.

Это страница входа в систему с полной пользовательской настройкой:

Рис. 30. Страница входа в систему с полной пользовательской настройкой.

Новая страница входа в систему содержит пользовательский логотип, заголовок и изображение с диалоговым окном для ввода имени учетной записи и пароля. Страница входа в систему является полностью настраиваемой: можно создать любую HTML-страницу и вставить в требуемом месте диалоговое окно для ввода имени учетной записи/пароля.

Примечание. Несмотря на неограниченную настраиваемость страницы входа в систему в целом, само диалоговое окно для ввода имени учетной записи и пароля, загружаемое устройством ASA конечному пользователю, не является полностью настраиваемым.

Механизм полной настраиваемости позволяет задать HTML-код собственного экрана входа в систему и затем вставить HTML-код Cisco, вызывающий функции устройства защиты для создания формы входа в систему и раскрывающегося списка выбора языка.

В последующих разделах этого документа описаны изменения, необходимые в коде HTML, и задачи, которые нужно выполнить для настройки устройства защиты на использование нового кода.

Подготовка собственного HTML-файла

Этот HTML-файл получен в редакторе Microsoft FrontPage. Он содержит заголовок, пользовательский логотип, изображение и нижний колонтитул.

Примечание. Изображения 5550.gif и asa.gif хранятся в каталоге login_files. Пробелы обязательны. На последующих шагах они заменяются диалоговым окном имени учетной записи/пароля.

В этот момент страница имеет вид, показанный на рис. 31. Следует обратить внимание на пустое пространство, оставленное для диалогового окна на последующих шагах.

Рис. 31. Начальная web-страница.

Изменение ссылок на место хранения изображений

Для всех изображений замените путь ключевым словом /+CSCOU+/, которое соответствует внутреннему каталогу в устройстве ASA. При загрузке изображения в устройство ASA оно сохраняется во внутреннем каталоге /+CSCOU+/ файловой системы ASA. Позднее, при загрузке этого измененного HTML-кода, устройство ASA надлежащим образом загружает файлы изображений.

Рис. 32. Измененный HTML-код.

Примечание. В первой ссылке имя login_files/5550.gif заменяется именем /+CSCOU+/5550.gif.

Переименование HTML-файла

На следующем шаге этот файл login.html переименовывается в login.inc.

Расширение .inc необходимо для того, чтобы устройство ASA распознало этот файл как файл особого типа и включило необходимый сценарий JavaScript для поддержки диалогового окна имени учетной записи/пароля.

Добавление кода в файл login.inc

Этот HTML-код должен быть добавлен в том месте, где должно отображаться диалоговое окно ввода имени учетной записи и пароля.

<body onload="csco_ShowLoginForm('lform');
   csco_ShowLanguageSelector('selector')" 
bgcolor="white">

<table> <tr><td colspan=3 height=20 align=right>

<div id="selector" style="width: 300px"></div> </td></tr>

<tr> <td align=middle valign=middle>

<div id=lform>

Loading...

</div> </td> </tr> </table>

Примечание. Первые две функции – csco_ShowLoginForm(lform) и csco_ShowLanguageSelector(selector) – представляют собой функции JavaScript, определение которых импортируется устройством ASA при обработке файла .inc. В этом коде просто вызывается функция для отображения диалогового окна имени учетной записи/пароля со списком для выбора языка.

Примечание. Диалоговое окно представляется как элемент таблицы. На своей HTML-странице его можно расположить в окружении других изображений или текста или выровнять требуемым образом.

В этом сценарии диалоговое окно имени учетной записи/пароля появляется выше изображения asa.gif посередине. При вставке кода окончательная HTML-страница будет иметь следующий вид:

Загрузка файла login.inc и файлов изображений в ASA в виде web-контента

Следующий шаг – загрузка итогового файла login.inc и загрузочных модулей в устройство ASA в виде web-контента. Необходимо убедиться в том, что выбран нижний параметр для сохранения файлов в каталоге /+CSCOU+/.

Рис. 33. Импорт файлов изображений в устройство ASA в качестве web-контента.

Выбор файла login.inc для полной пользовательской настройки

Наконец, в редакторе пользовательской настройки выберите вкладку Full Customization (Полная настройка) и укажите ссылку на загруженный файл login.inc. При подключении конечного пользователя из профиля подключения, связанного с этой настройкой, например sslclient, пользователю представляется страница входа в систему с полной настройкой.

Рис. 34. Связывание файла login.inc для полной пользовательской настройки.

Проверка полной пользовательской настройки

При подключении к ASA по адресу https://asa.cisco.com/sslclient должна появиться страница входа в систему с полной пользовательской настройкой.

Рис. 35. Окончательный вид страницы входа в систему с полной пользовательской настройкой.

Поддержка интерфейса командной строки

Как пояснялось выше, редактирование всех настроек выполняется в инструменте ASDM. Тем не менее, для удаления пользовательских настроек и другого контента WebVPN можно также использовать следующие команды интерфейса командной строки:

revert webvpn:

all                Revert all webvpn related data
  customization      Revert customization file
  plug-in            Revert plug-in options
  translation-table  Revert translation table
  url-list           Revert a list of URLs for use with WebVPN
  webcontent         Revert webcontent

Например:

• Для удаления пользовательской настройки выполните в интерфейсе командной строки команду revert webvpn customization Custom_Marketing.

• Для удаления файла логотипа выполните команду revert webvpn webcontent /+CSCOU+/marketing.gif.

• Для удаления закладок выполните команду revert webvpn url-list Marketing_URL_List.

• Для удаления всех пользовательских настроек, web-контента, подключаемых модулей и закладок выполните команду revert webvpn all.

Примечание. Поскольку пользовательские настройки WebVPN не сохраняются в рабочей конфигурации, обычная последовательность write erase, reload не удаляет пользовательские настройки или web-контент из устройства ASA. Необходимо в явном виде выполнить команды revert webvpn или вручную удалить пользовательские настройки из ASDM.

Резервное копирование пользовательских настроек

В отличие от других команд интерфейса командной строки, настройки не сохраняются в рабочей конфигурации. Необходимо в явном виде экспортировать настройки и сохранять их в формате XML на компьютере-хосте.

Рис. 36. Экспорт пользовательских настроек для резервного копирования или репликации на другом устройстве ASA.

Для восстановления импортируйте пользовательские настройки с файлом XML, полученным на предыдущем шаге.

Рис. 37. Импорт пользовательских настроек из предварительно экспортированного файла XML.

Примечание. В дополнение к экспорту и импорту настроек необходимо также в явном виде вручную выполнить резервное копирование и восстановление web-контента, которое включает в себя загрузочные модули, справочные файлы и эскизы. Иначе настройки не будут полностью работоспособны.

Заключение

Развитые возможности настройки, представленные в версии ASA 8.0, позволяют создавать эстетичные страницы web-портала. Можно реализовать виртуализацию путем создания различным образом настроенных web-порталов для различных групп. Кроме того, страница входа в систему допускает полную пользовательскую настройку для приведения к виду обычных web-порталов интрасети в интересах унификации пользовательского интерфейса.

Поиск и устранение неполадок

При разрешении пользовательской настройки WebVPN может появиться следующее сообщение об ошибке:

%ERROR: csco_config.lua:36: csco_config.lua:552: copying
'disk0:/csco_config/locale/ja/LC_MESSAGES/PortForwarder.po' to a temporary ramfs file
failed

%ERROR: csco_config.lua:36: csco_config.lua:552: copying
'disk0:/csco_config/locale/ja/LC_MESSAGES/webvpn.po' to a temporary ramfs file failed

%ERROR: csco_config.lua:36: csco_config.lua:552: copying
'disk0:/csco_config/locale/fr/LC_MESSAGES/customization.po' to a temporary ramfs file
failed.

Для устранения этой проблемы выполните команду revert webvpn all и перезагрузите устройство ASA.

---

Дополнительные сведения

• Страница поддержки устройств адаптивной защиты Cisco ASA серии 5500
• Настройка страниц бесклиентской сети VPN на основе SSL
• ASA 8.0: изменение логотипа WebVPN
• Cisco Systems — техническая поддержка и документация

---