Введение
Предварительные условия
Требования
Используемые компоненты
Требования к конфигурации
Условные обозначения
Обзор возможностей пользовательской настройки
Улучшение восприятия интерфейса
Виртуализация
Поддерживаемые страницы
Пользовательская настройка web-портала
Панель заголовка
URL-адрес логотипа
Панель инструментов
Web-закладки с эскизами
Пользовательские области: трансляция RSS
Пользовательские области: пользовательская страница интрасети
Пользовательские названия вкладок приложений
Пользовательские эскизы приложений
Пользовательские страницы справки для приложений
Проверка пользовательской настройки
Пользовательская настройка страницы входа
Подготовка собственного HTML-файла
Изменение ссылок на место хранения изображений
Переименование HTML-файла
Добавление кода в файл login.inc
Загрузка файла login.inc и файлов изображений в ASA в виде web-контента
Выбор файла login.inc для полной пользовательской настройки
Проверка полной пользовательской настройки
Поддержка интерфейса командной строки
Резервное копирование пользовательских настроек
Заключение
Поиск и устранение неполадок
Дополнительные сведения
В версии 8.0 программного обеспечения для устройств адаптивной защиты Cisco ASA серии 5500 введены развитые возможности пользовательской настройки, позволяющие создавать эстетичные web-порталы для пользователей с бесклиентским доступом. В этом документе рассмотрено множество доступных вариантов пользовательской настройки страницы входа в систему, также называемой экраном приветствия, и страницы web-портала.
Для настройки групповых политик и профилей подключения на ASA компания Cisco рекомендует ознакомиться с Менеджером устройств адаптивной защиты Cisco (ASDM).
Для получения общих сведений см. следующие документы:
раздел Настройка бесклиентской сети VPN на основе SSL в Руководстве Cisco по настройке безопасности в командной строке, версия 8.0;
Перед настройкой пользовательского web-портала необходимо выполнить несколько базовых шагов для настройки ASA. Для получения дополнительных сведений см. раздел Требования к конфигурации данного документа.
Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:
Cisco ASA версии 8.x
Cisco ASDM версии 6.x
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.
Необходимо предварительно настроить устройство ASA для выполнения операций настройки, описанных в этом документе.
Выполните следующие действия:
Для создания групповой политики (например, Marketing) в ASDM выберите Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies (Конфигурация > VPN для удаленного доступа > Доступ по бесклиентской сети VPN на основе SSL > Групповые политики) и отметьте флажок Clientless SSL VPN (Бесклиентская сеть VPN на основе SSL) в разделе протоколов туннелирования.
Рис. 1. Создание новой групповой политики (Marketing).
Для создания нового профиля подключения (например, sslclient) выберите Configuration > Remote Access VPN > Clientless SSL VPN > Connection Profiles (Конфигурация > VPN для удаленного доступа > Бесклиентская сеть VPN на основе SSL > Профили подключения), укажите необходимые реквизиты сервера аутентификации, например сервера AAA, и назначьте группу политик Marketing.
Рис. 2. Создание нового профиля подключения (sslclient).
Для продолжения настройки профиля подключения выберите Advanced и укажите URL-адрес группы для профиля подключения.
Рис. 3. Настройка URL-адресов группы для профиля подключения.
Примечание. В этом примере URL-адрес группы настраивается в трех различных форматах. Для подключения к ASA посредством профиля подключения sslclient пользователь может ввести любой из них.
Выберите Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Customization (Конфигурация > VPN для удаленного доступа > Доступ по бесклиентской сети VPN на основе SSL > Портал > Пользовательская настройка) и добавьте два объекта пользовательской настройки:
Custom_Login
Custom_Marketing
Примечание. Рис. 4 иллюстрирует создание объекта Custom_Login. Повторите эти шаги для добавления объекта пользовательской настройки Custom_Marketing. Пока не редактируйте добавленные объекты. Разные варианты конфигурации обсуждаются в последующих разделах этого документа.
Подробные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.
В типичном бесклиентском сценарии удаленный пользователь вводит в браузере полное имя домена (FQDN) устройства ASA для регистрации на устройстве. При этом появляется страница входа в систему или экран приветствия. После успешного прохождения аутентификации пользователю становится доступен для просмотра web-портал со всеми разрешенными приложениями.
В версиях ниже 8.0 web-портал поддерживает ограниченные возможности пользовательской настройки: всем пользователям ASA представляется один и тот же набор web-страниц. Эти web-страницы имеют ограниченное графическое оформление и заметно отличаются от типичного вида страниц в интрасети.
ASA предусматривает полноценные средства пользовательской настройки, позволяющие совместить функциональный механизм входа в систему с существующим набором web-страниц. Существенные усовершенствования претерпела и пользовательская настройка web-портала. Рассмотренные в этом документе примеры показывают настройку страницы ASA, позволяющую приблизить вид страниц ASA к существующим страницам интрасети для создания более последовательного пользовательского интерфейса при работе со страницами ASA.
Гибкость пользовательской настройки подкрепляет возможности ASA в части виртуализации взаимодействия с пользователем. Например, страница входа в систему и web-портал, доступные группе маркетинга, могут полностью отличаться от внешнего вида страниц для групп, представляющих отдел продаж и проектный отдел.
ASA поддерживает два различных типа страниц WebVPN, которые являются настраиваемыми.
Когда пользователь вводит в браузере URL-адрес группы https://asa.cisco.com/sslclient для подключения к устройству ASA, появляется следующая страница входа в систему по умолчанию:
Рис. 5. Страница входа по умолчанию.
Для изменения этой страницы входа в систему необходимо отредактировать конфигурацию, связанную с профилем подключения. Шаги, необходимые для изменения соответствующих настроек, описаны в разделе данного документа Пользовательская настройка страницы входа. Пока же выполните следующие действия:
Выберите Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles (Конфигурация > VPN для удаленного доступа > Доступ по бесклиентской сети VPN на основе SSL > Профили подключений).
Отредактируйте профиль подключения sslclient и свяжите с ним пользовательскую настройку Custom_Login.
После того как пользователь пройдет аутентификацию, появится следующая страница web-портала по умолчанию1:
Рис. 7. Страница портала по умолчанию.
1. Предполагается, что активны все подключаемые модули (VNC, ICA, SSH и RDP). Если подключаемые модули не активированы, то их вкладки будут отсутствовать.
Для изменения этой страницы web-портала необходимо отредактировать настройку, связанную с групповой политикой. Шаги, необходимые для изменения соответствующих настроек, описаны в разделе данного документа Пользовательская настройка web-портала. Пока же выполните следующие действия:
Выберите Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies (Конфигурация > VPN для удаленного доступа > Доступ по бесклиентской сети VPN на основе SSL > Групповые политики).
Отредактируйте групповую политику Marketing и свяжите с ней пользовательскую настройку Custom_Marketing.
Примечание. С одной групповой политикой можно связать несколько профилей соединений, каждый из которых будет иметь собственную схему аутентификации, например RADIUS, LDAP или сертификаты. Поэтому можно создать несколько страниц входа в систему, например предусмотрев индивидуальные настройки входа в систему для каждой конфигурации подключения, и связать их все с одной настройкой web-портала, которая связана с групповой политикой Marketing.
Ниже приведен пример пользовательской настройки web-портала.
Рис. 9. Пользовательская страница web-портала.
Можно заметить, что на странице имеются: заголовок с градиентной цветовой схемой, логотип отдела маркетинга, несколько web-закладок с эскизами, трансляция RSS и пользовательская страница интрасети. Пользовательская страница интрасети позволяет конечному пользователю перемещаться по своей странице интрасети и одновременно использовать другие вкладки на web-портале.
Примечание. Строго говоря, эта web-страница не настраиваема в полной мере: структура страницы с верхними и левыми экранными областями по-прежнему задана жестко. Можно изменить множество второстепенных компонентов для максимального приближения к виду порталов в интрасети.
Этот раздел освещает настройку каждого отдельного компонента в web-портале посредством редактора настройки в ASDM.
Для настройки панели заголовка действуют следующие параметры:
Рис. 11. Редактор пользовательских настроек. Конфигурация панели заголовка.
Для настройки логотипа в панели заголовка загрузите изображение логотипа в устройство ASA.
Рис. 12. Загрузка файла логотипа marketing.gif в устройство ASA в качестве web-контента.
Выберите Clientless SSL VPN Access > Portal > Web Contents (Доступ по бесклиентской сети VPN на основе SSL > Портал > Web-контент), нажмите Import (Импортировать) и укажите путь к файлу логотипа на локальном компьютере. Загрузите это в каталог /+CSCOU+/ в качестве web-контента.
Введите URL-адрес логотипа /+CSCOU+/marketing.gif в виде, показанном на рис. 12.
В качестве текста введите ASA VPN Marketing.
Для выбора цвета шрифта и цвета фона нажмите кнопку ....
Для создания эстетичного цветового перехода включите параметр Gradient (Градиент).
Для настройки этого адреса/панели инструментов отредактируйте следующие параметры:
Рис. 14. Редактор пользовательских настроек. Пользовательская настройка панели инструментов.
Примечание. По умолчанию панель инструментов включена. В этом примере в соответствии с иллюстрацией переименовываются остальные поля, такие как Prompt Box Title (Заголовок поля приглашения), текст кнопки Browse (Обзор) и Logout Prompt (Приглашение при выходе из системы).
Для добавления эскизов рядом с закладками выполните следующие шаги:
Загрузите требуемое изображение в каталог /+CSCOU+/.
Рис. 16. Загрузка эскиза, связываемого с закладками.
Свяжите эскиз с закладками ASA.
Выберите Portal > Bookmarks (Портал > Закладки).
Нажмите кнопку Add (Добавить). В поле Bookmark List Name (Наименование списка закладок) введите Applications (Приложения).
Нажмите кнопку Add (Добавить). В поле Bookmark Title (Заголовок закладки) введите ASA Marketing (ASA-маркетинг).
В качестве URL-адреса введите http://cisco.com/go/asa, затем выберите Advanced Options (Дополнительные параметры).
Щелкните Manage (Управление). Выберите ранее загруженный эскиз /+CSCOU+/5550-1.gif и нажмите OK.
Рис. 17. Связывание эскизов с закладками.
Свяжите закладки с групповой политикой ASA.
Выберите Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies (Конфигурация > VPN для удаленного доступа > Доступ по бесклиентской сети VPN на основе SSL > Групповые политики) и отредактируйте политику Marketing.
Выберите Portal (Портал). Снимите флажок Inherit рядом со списком закладок и выберите Applications (Приложения) в раскрывающемся меню.
Рис. 18. Связывание закладок с групповой политикой (Marketing).
Для отображения пользовательской трансляции RSS отредактируйте следующие элементы настройки:
Рис. 20. Пользовательские области: настройка трансляции RSS.
Примечание. RSS-трансляция рекомендаций Cisco по вопросам безопасности: http://newsroom.cisco.com/data/syndication/rss2/SecurityAdvisories_20.xml.
Для настройки пользовательской страницы интрасети отредактируйте следующие элементы:
Рис. 22. Редактор пользовательских настроек. Настройка пользовательских областей.
Примечание. URL-адрес страницы Cisco CCO: http://cisco.com/en/US/netsol.
Для настройки названий вкладок приложений отредактируйте следующие элементы:
Рис. 24. Пользовательская настройка названий вкладок приложений.
Примечание. Приложения можно выборочно активировать, а также переупорядочивать при помощи ссылок «вверх» и «вниз».
Для того чтобы сопроводить имена приложений эскизами предпочтительного вида, наподобие показанных в примере значков, выполните следующие шаги:
Со страницы портала щелкните правой кнопкой мыши на эскизе по умолчанию, чтобы найти его имя и местоположение.
На вкладке Home (Начало) местоположение эскиза – /+CSCOU+/nv-home.gif.
На вкладке Web Applications (Web-приложения) местоположение эскиза – /+CSCOU+/nv-web-access.gif.
Импортируйте требуемое изображение в ASA в виде web-контента с названием, зафиксированным на первом шаге.
Например, если с вкладкой Web Applications (Web-приложения) требуется связать файл disney.gif, импортируйте его как nv-web-access.gif.
Рис. 26. Импорт эскизов для вкладок приложений.
Компания Cisco поставляет файлы справки по умолчанию для использования в приложениях. Эти страницы можно заменить собственными пользовательскими HTML-страницами. Например, на рис. 27 можно добавить к странице справки собственное изображение.
Рис. 27. Пользовательская страница справки.
Для настройки файлов справки выполните следующие действия:
Выберите Portal > Help Customization (Портал > Пользовательская настройка справки) и щелкните Import (Импортировать).
Укажите язык в поле Language.
Выберите файл .inc. Например, для редактирования страницы справки, соответствующей вкладке доступа к web-приложениям, откройте файл web-access-hlp.inc.
Выберите пользовательский HTML-файл.
Рис. 28. Импорт пользовательских файлов справки для доступа к приложениям.
На этом этапе зайдите в устройство ASA по адресу: https://asa.cisco.com/sslclient. После успешной аутентификации появится web-портал с пользовательской настройкой.
Это страница входа в систему по умолчанию:
Рис. 29. Страница входа по умолчанию.
Это страница входа в систему с полной пользовательской настройкой:
Рис. 30. Страница входа в систему с полной пользовательской настройкой.
Новая страница входа в систему содержит пользовательский логотип, заголовок и изображение с диалоговым окном для ввода имени учетной записи и пароля. Страница входа в систему является полностью настраиваемой: можно создать любую HTML-страницу и вставить в требуемом месте диалоговое окно для ввода имени учетной записи/пароля.
Примечание. Несмотря на неограниченную настраиваемость страницы входа в систему в целом, само диалоговое окно для ввода имени учетной записи и пароля, загружаемое устройством ASA конечному пользователю, не является полностью настраиваемым.
Механизм полной настраиваемости позволяет задать HTML-код собственного экрана входа в систему и затем вставить HTML-код Cisco, вызывающий функции устройства защиты для создания формы входа в систему и раскрывающегося списка выбора языка.
В последующих разделах этого документа описаны изменения, необходимые в коде HTML, и задачи, которые нужно выполнить для настройки устройства защиты на использование нового кода.
Этот HTML-файл получен в редакторе Microsoft FrontPage. Он содержит заголовок, пользовательский логотип, изображение и нижний колонтитул.
Примечание. Изображения 5550.gif и asa.gif хранятся в каталоге login_files. Пробелы обязательны. На последующих шагах они заменяются диалоговым окном имени учетной записи/пароля.
В этот момент страница имеет вид, показанный на рис. 31. Следует обратить внимание на пустое пространство, оставленное для диалогового окна на последующих шагах.
Рис. 31. Начальная web-страница.
Для всех изображений замените путь ключевым словом /+CSCOU+/, которое соответствует внутреннему каталогу в устройстве ASA. При загрузке изображения в устройство ASA оно сохраняется во внутреннем каталоге /+CSCOU+/ файловой системы ASA. Позднее, при загрузке этого измененного HTML-кода, устройство ASA надлежащим образом загружает файлы изображений.
Рис. 32. Измененный HTML-код.
Примечание. В первой ссылке имя login_files/5550.gif заменяется именем /+CSCOU+/5550.gif.
На следующем шаге этот файл login.html переименовывается в login.inc.
Расширение .inc необходимо для того, чтобы устройство ASA распознало этот файл как файл особого типа и включило необходимый сценарий JavaScript для поддержки диалогового окна имени учетной записи/пароля.
Этот HTML-код должен быть добавлен в том месте, где должно отображаться диалоговое окно ввода имени учетной записи и пароля.
<body onload="csco_ShowLoginForm('lform'); csco_ShowLanguageSelector('selector')" bgcolor="white"> <table> <tr><td colspan=3 height=20 align=right> <div id="selector" style="width: 300px"></div> </td></tr> <tr> <td align=middle valign=middle> <div id=lform> Loading... </div> </td> </tr> </table>
Примечание. Первые две функции – csco_ShowLoginForm(lform) и csco_ShowLanguageSelector(selector) – представляют собой функции JavaScript, определение которых импортируется устройством ASA при обработке файла .inc. В этом коде просто вызывается функция для отображения диалогового окна имени учетной записи/пароля со списком для выбора языка.
Примечание. Диалоговое окно представляется как элемент таблицы. На своей HTML-странице его можно расположить в окружении других изображений или текста или выровнять требуемым образом.
В этом сценарии диалоговое окно имени учетной записи/пароля появляется выше изображения asa.gif посередине. При вставке кода окончательная HTML-страница будет иметь следующий вид:
Следующий шаг – загрузка итогового файла login.inc и загрузочных модулей в устройство ASA в виде web-контента. Необходимо убедиться в том, что выбран нижний параметр для сохранения файлов в каталоге /+CSCOU+/.
Рис. 33. Импорт файлов изображений в устройство ASA в качестве web-контента.
Наконец, в редакторе пользовательской настройки выберите вкладку Full Customization (Полная настройка) и укажите ссылку на загруженный файл login.inc. При подключении конечного пользователя из профиля подключения, связанного с этой настройкой, например sslclient, пользователю представляется страница входа в систему с полной настройкой.
Рис. 34. Связывание файла login.inc для полной пользовательской настройки.
При подключении к ASA по адресу https://asa.cisco.com/sslclient должна появиться страница входа в систему с полной пользовательской настройкой.
Рис. 35. Окончательный вид страницы входа в систему с полной пользовательской настройкой.
Как пояснялось выше, редактирование всех настроек выполняется в инструменте ASDM. Тем не менее, для удаления пользовательских настроек и другого контента WebVPN можно также использовать следующие команды интерфейса командной строки:
revert webvpn:
all Revert all webvpn related data customization Revert customization file plug-in Revert plug-in options translation-table Revert translation table url-list Revert a list of URLs for use with WebVPN webcontent Revert webcontent
Например:
Для удаления пользовательской настройки выполните в интерфейсе командной строки команду revert webvpn customization Custom_Marketing.
Для удаления файла логотипа выполните команду revert webvpn webcontent /+CSCOU+/marketing.gif.
Для удаления закладок выполните команду revert webvpn url-list Marketing_URL_List.
Для удаления всех пользовательских настроек, web-контента, подключаемых модулей и закладок выполните команду revert webvpn all.
Примечание. Поскольку пользовательские настройки WebVPN не сохраняются в рабочей конфигурации, обычная последовательность write erase, reload не удаляет пользовательские настройки или web-контент из устройства ASA. Необходимо в явном виде выполнить команды revert webvpn или вручную удалить пользовательские настройки из ASDM.
В отличие от других команд интерфейса командной строки, настройки не сохраняются в рабочей конфигурации. Необходимо в явном виде экспортировать настройки и сохранять их в формате XML на компьютере-хосте.
Рис. 36. Экспорт пользовательских настроек для резервного копирования или репликации на другом устройстве ASA.
Для восстановления импортируйте пользовательские настройки с файлом XML, полученным на предыдущем шаге.
Рис. 37. Импорт пользовательских настроек из предварительно экспортированного файла XML.
Примечание. В дополнение к экспорту и импорту настроек необходимо также в явном виде вручную выполнить резервное копирование и восстановление web-контента, которое включает в себя загрузочные модули, справочные файлы и эскизы. Иначе настройки не будут полностью работоспособны.
Развитые возможности настройки, представленные в версии ASA 8.0, позволяют создавать эстетичные страницы web-портала. Можно реализовать виртуализацию путем создания различным образом настроенных web-порталов для различных групп. Кроме того, страница входа в систему допускает полную пользовательскую настройку для приведения к виду обычных web-порталов интрасети в интересах унификации пользовательского интерфейса.
При разрешении пользовательской настройки WebVPN может появиться следующее сообщение об ошибке:
%ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/ja/LC_MESSAGES/PortForwarder.po' to a temporary ramfs file failed %ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/ja/LC_MESSAGES/webvpn.po' to a temporary ramfs file failed %ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/fr/LC_MESSAGES/customization.po' to a temporary ramfs file failed.
Для устранения этой проблемы выполните команду revert webvpn all и перезагрузите устройство ASA.