クライアントレス SSL VPN エンド ユーザーの設定
この項は、エンド ユーザーのためにクライアントレス SSL VPN を設定するシステム管理者を対象にしています。ここでは、エンド ユーザー インターフェイスをカスタマイズする方法、およびリモート システムの設定要件と作業の概要を説明します。ユーザーがクライアントレス SSL VPN の使用を開始するために、ユーザーに伝える必要のある情報を明確にします。
エンド ユーザー インターフェイスの定義
クライアントレス SSL VPN エンド ユーザー インターフェイスは一連の HTML パネルから構成されています。ユーザーは、ASA インターフェイスの IP アドレスを https://address 形式で入力することにより、クライアントレス SSL VPN にログインします。最初に表示されるパネルは、ログイン画面です。
クライアントレス SSL VPN ホーム ページの表示
ユーザーがログインすると、ポータル ページが開きます。
ホームページには設定済みのクライアントレス SSL VPN 機能がすべて表示され、選択済みのロゴ、テキスト、および色が外観に反映されています。このサンプル ホームページには、特定のファイル共有の指定機能以外のすべてのクライアントレス SSL VPN 機能が表示されています。ユーザーはこのホームページを使用して、ネットワークのブラウズ、URL の入力、特定の Web サイトへのアクセス、および Application Access(ポート転送とスマート トンネル)による TCP アプリケーションへのアクセスを実行できます。
クライアントレス SSL VPN の [Application Access] パネルの表示
ポート転送またはスマート トンネルを開始するには、[Application Access] ボックスの [Go] ボタンをクリックします。[Application Access] ウィンドウが開き、このクライアントレス SSL VPN 接続用に設定された TCP アプリケーションが表示されます。このパネルを開いたままでアプリケーションを使用する場合は、通常の方法でアプリケーションを起動します。
(注) |
ステートフル フェールオーバーでは、Application Access を使用して確立したセッションは保持されません。ユーザーはフェールオーバー後に再接続する必要があります。 |
フローティング ツールバーの表示
次の図のフローティング ツールバーには、現在のクライアントレス SSL VPN セッションが示されます。
フローティング ツールバーの次の特性に注意してください。
-
ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。
-
ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。
-
ツールバーを閉じると、クライアントレス SSL VPN セッションの終了を求めるメッセージが ASA によって表示されます。
クライアントレス SSL VPN ページのカスタマイズ
クライアントレス SSL VPN ユーザーに表示されるポータル ページの外観を変えることができます。変更できる外観には、ユーザーがセキュリティ アプライアンスに接続するときに表示される [Login] ページ、セキュリティ アプライアンスのユーザー認証後に表示される [Home] ページ、ユーザーがアプリケーションを起動するときに表示される [Application Access] ウィンドウ、およびユーザーがクライアントレス SSL VPN セッションからログアウトするときに表示される [Logout] ページが含まれます。
ポータル ページのカスタマイズ後は、このカスタマイゼーションを保存して、特定の接続プロファイル、グループ ポリシー、またはユーザーに適用できます。ASA をリロードするまで、またはクライアントレス SSL をオフに切り替えてから再度イネーブルにするまで、変更は適用されません。
いくつものカスタマイゼーション オブジェクトを作成、保存して、個々のユーザーまたはユーザー グループに応じてポータル ページの外観を変更するようにセキュリティ アプライアンスをイネーブル化できます。
カスタマイゼーションについて
ASA は、カスタマイゼーション オブジェクトを使用して、ユーザー画面の外観を定義します。カスタマイゼーション オブジェクトは、リモート ユーザーに表示されるカスタマイズ可能なすべての画面項目に対する XML タグを含む XML ファイルからコンパイルされます。ASA ソフトウェアには、リモート PC にエクスポートできるカスタマイゼーション テンプレートが含まれています。このテンプレートを編集し、新しいカスタマイゼーション オブジェクトとして再び ASA にインポートできます。
カスタマイゼーション オブジェクトをエクスポートすると、XML タグを含む XML ファイルが、指定した URL に作成されます。カスタマイゼーション オブジェクトによって作成される Template という名前の XML ファイルには、空の XML タグが含まれており、新しいカスタマイゼーション オブジェクトを作成するための基礎として利用できます。このオブジェクトは、変更したりキャッシュ メモリから削除したりすることはできませんが、エクスポートして編集し、新しいカスタマイゼーション オブジェクトとして再び ASA にインポートできます。
カスタマイゼーション オブジェクト、接続プロファイル、およびグループ ポリシー
ユーザーが初めて接続するときには、接続プロファイル(トンネル グループ)で指定されたデフォルトのカスタマイゼーション オブジェクト(DfltCustomization)がログイン画面の表示方法を決定します。接続プロファイル リストがイネーブルになっている場合に、独自のカスタマイゼーションがある別のグループをユーザーが選択すると、その新しいグループのカスタマイゼーション オブジェクトを反映して画面が変わります。
リモート ユーザーが認証された後は、画面の外観は、そのグループ ポリシーにカスタマイゼーション オブジェクトが割り当てられているかどうかによって決まります。
カスタマイゼーション テンプレートのエクスポート
カスタマイゼーション オブジェクトをエクスポートすると、指定した URL に XML ファイルが作成されます。カスタマイゼーション テンプレート(Template)は、空の XML タグを含んでおり、新しいカスタマイゼーション オブジェクトを作成するためのベースになります。このオブジェクトは、変更したりキャッシュ メモリから削除したりすることはできませんが、エクスポートして編集し、新しいカスタマイゼーション オブジェクトとして再び ASA にインポートできます。
手順
ステップ 1 |
カスタマイゼーション オブジェクトをエクスポートし、XML タグを変更します。 export webvpn customization |
ステップ 2 |
ファイルを新しいオブジェクトとしてインポートします。 import webvpn customization 例:次の例では、デフォルトのカスタマイゼーション オブジェクト(DfltCustomization)をエクスポートして、dflt_custom という名前の XML ファイルを作成します。
|
カスタマイゼーション テンプレートの編集
この項では、カスタマイゼーション テンプレートの内容を示して、便利な図を提供しています。これらを参照して、正しい XML タグをすばやく選択して、画面表示を変更できます。
テキスト エディタまたは XML エディタを使用して、XML ファイルを編集できます。次の例は、カスタマイゼーション テンプレートの XML タグを示しています。一部の冗長タグは、見やすくするために削除してあります。
<custom>
<localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>
</localization>
<auth-page>
<window>
<title-text l10n="yes"><![CDATA[SSL VPN Service</title-text>
</window>
<full-customization>
<mode>disable</mode>
<url></url>
</full-customization>
<language-selector>
<mode>disable</mode>
<title l10n="yes">Language:</title>
<language>
<code>en</code>
<text>English</text>
</language>
<language>
<code>zh</code>
<text>(Chinese)</text>
</language>
<language>
<code>ja</code>
<text>(Japanese)</text>
</language>
<language>
<code>ru</code>
<text>(Russian)</text>
</language>
<language>
<code>ua</code>
<text>(Ukrainian)</text>
</language>
</language-selector>
<logon-form>
<title-text l10n="yes"><![CDATA[Login</title-text>
<title-background-color><![CDATA[#666666</title-background-color>
<title-font-color><![CDATA[#ffffff</title-font-color>
<message-text l10n="yes"><![CDATA[Please enter your username and password.</message-text>
<username-prompt-text l10n="yes"><![CDATA[USERNAME:</username-prompt-text>
<password-prompt-text l10n="yes"><![CDATA[PASSWORD:</password-prompt-text>
<internal-password-prompt-text l10n="yes">Internal Password:</internal-password-prompt-text>
<internal-password-first>no</internal-password-first>
<group-prompt-text l10n="yes"><![CDATA[GROUP:</group-prompt-text>
<submit-button-text l10n="yes"><![CDATA[Login</submit-button-text>
<title-font-color><![CDATA[#ffffff</title-font-color>
<title-background-color><![CDATA[#666666</title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logon-form>
<logout-form>
<title-text l10n="yes"><![CDATA[Logout</title-text>
<message-text l10n="yes"><![CDATA[Goodbye.<br>
For your own security, please:<br>
<li>Clear the browser's cache
<li>Delete any downloaded files
<li>Close the browser's window</message-text>
<login-button-text l10n="yes">Logon</login-button-text>
<hide-login-button>no</hide-login-button>
<title-background-color><![CDATA[#666666</title-background-color>
<title-font-color><![CDATA[#ffffff</title-font-color>
<title-font-color><![CDATA[#ffffff</title-font-color>
<title-background-color><![CDATA[#666666</title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logout-form>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service</text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff</background-color>
<font-size><![CDATA[larger</font-size>
<font-color><![CDATA[#800000</font-color>
<font-weight><![CDATA[bold</font-weight>
</title-panel>
<info-panel>
<mode>disable</mode>
<image-url l10n="yes">/+CSCOU+/clear.gif</image-url>
<image-position>above</image-position>
<text l10n="yes"></text>
</info-panel>
<copyright-panel>
<mode>disable</mode>
<text l10n="yes"></text>
</copyright-panel>
</auth-page>
<portal>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service</text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff</background-color>
<font-size><![CDATA[larger</font-size>
<font-color><![CDATA[#800000</font-color>
<font-weight><![CDATA[bold</font-weight>
</title-panel>
<browse-network-title l10n="yes">Browse Entire Network</browse-network-title>
<access-network-title l10n="yes">Start AnyConnect</access-network-title>
<application>
<mode>enable</mode>
<id>home</id>
<tab-title l10n="yes">Home</tab-title>
<order>1</order>
</application>
<application>
<mode>enable</mode>
<id>web-access</id>
<tab-title l10n="yes"><![CDATA[Web Applications</tab-title>
<url-list-title l10n="yes"><![CDATA[Web Bookmarks</url-list-title>
<order>2</order>
</application>
<application>
<mode>enable</mode>
<id>file-access</id>
<tab-title l10n="yes"><![CDATA[Browse Networks</tab-title>
<url-list-title l10n="yes"><![CDATA[File Folder Bookmarks</url-list-title>
<order>3</order>
</application>
<application>
<mode>enable</mode>
<id>app-access</id>
<tab-title l10n="yes"><![CDATA[Application Access</tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>net-access</id>
<tab-title l10n="yes">AnyConnect</tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>help</id>
<tab-title l10n="yes">Help</tab-title>
<order>1000000</order>
</application>
<toolbar>
<mode>enable</mode>
<logout-prompt-text l10n="yes">Logout</logout-prompt-text>
<prompt-box-title l10n="yes">Address</prompt-box-title>
<browse-button-text l10n="yes">Browse</browse-button-text>
<username-prompt-text l10n="yes"></username-prompt-text>
</toolbar>
<column>
<width>100%</width>
<order>1</order>
</column>
<pane>
<type>TEXT</type>
<mode>disable</mode>
<title></title>
<text></text>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>IMAGE</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>HTML</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>RSS</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<url-lists>
<mode>group</mode>
</url-lists>
<home-page>
<mode>standard</mode>
<url></url>
</home-page>
</portal>
</custom>
次の図に、[Login] ページとページをカスタマイズする XML タグを示します。これらのタグはすべて、上位レベルのタグ <auth-page> にネストされています。
次の図に、[Login] ページで使用可能な言語セレクタ ドロップダウン リストと、この機能をカスタマイズするための XML タグを示します。これらのタグはすべて、上位レベルの <auth-page> タグにネストされています。
次の図に、[Login] ページで使用できる Information Panel とこの機能をカスタマイズするための XML タグを示します。この情報は [Login] ボックスの左側または右側に表示されます。これらのタグは、上位レベルの <auth-page> タグにネストされています。
次の図に、ポータル ページとこの機能をカスタマイズするための XML タグを示します。これらのタグは、上位レベルの <auth-page> タグにネストされています。
カスタマイゼーション オブジェクトのインポート
XML ファイルを編集して保存したら、ASA のキャッシュ メモリにインポートします。カスタマイゼーション オブジェクトをインポートするとき 、ASA は XML コードの有効性をチェックします。コードが有効な場合、ASA はそのオブジェクトをキャッシュ メモリ内の非表示の場所に保存します。
import webvpn customization
次の例では、カスタマイゼーション オブジェクト General.xml を 209.165.201.22/customization の URL からインポートして、custom1 という名前を付けます。
hostname# import webvpn customization custom1 tftp://209.165.201.22/customization /General.xml
Accessing tftp://209.165.201.22/customization/General.xml...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/custom1...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
329994 bytes copied in 5.350 secs (65998 bytes/sec)
接続プロファイル、グループ ポリシー、およびユーザーへのカスタマイゼーションの適用
カスタマイゼーションの作成後、customization コマンドを使用して、接続プロファイル(トンネル グループ)、グループ、またはユーザーにそのカスタマイゼーションを適用できます。このコマンドで表示されるオプションは、使用中のモードによって異なります。
(注) |
ポータル ページのカスタマイズ後は、ASA をリロードするか、またはクライアントレス SSL をディセーブルにしてから再度イネーブルにするまで、変更は適用されません。 |
手順
ステップ 1 |
クライアントレス SSL VPN コンフィギュレーション モードに切り替えます。 webvpn |
ステップ 2 |
トンネル グループ、グループ ポリシー、またはユーザー名のクライアントレス SSL VPN コンフィギュレーションに切り替えます。 tunnel-group webvpn または group-policy webvpn または username webvpn |
ステップ 3 |
接続プロファイルにカスタマイゼーションを適用します。name は、接続プロファイルに適用するカスタマイゼーションの名前です。 customization name または、カスタマイゼーションをグループまたはユーザーに適用します。次のオプションが含まれます。
例:次の例では、トンネル グループ クライアントレス SSL VPN コンフィギュレーション モードを開始し、接続プロファイル cisco_telecommutes に対してカスタマイゼーション cisco をイネーブルにします。
次の例では、グループ ポリシー クライアントレス SSL VPN コンフィギュレーション モードを開始し、セキュリティ アプライアンスにカスタマイゼーションのリストのクエリーを実行し、グループ ポリシー cisco_sales に対してカスタマイゼーション cisco をイネーブルにします。
次の例では、ユーザー名クライアントレス SSL VPN コンフィギュレーション モードを開始し、ユーザー cisco_employee に対してカスタマイゼーション cisco をイネーブルにします。
|
ステップ 4 |
(任意) コンフィギュレーションからコマンドを削除して、接続プロファイルからカスタマイゼーションを削除します。 [no] customization name |
ステップ 5 |
(任意) コンフィギュレーションからコマンドを削除して、デフォルトに戻します。 [no] customization {none | value name} |
ステップ 6 |
既存のカスタマイゼーションのリストを表示します。 customization ? |
ログイン画面の高度なカスタマイゼーション
提供されるログイン画面の特定の画面要素を変更するのではなく、独自のカスタム ログイン画面を使用する場合は、フル カスタマイゼーション機能を使用してこの高度なカスタマイゼーションを実行できます。
フル カスタマイゼーション機能を使用して、独自のログイン画面に HTML を配置し、ASA で関数を呼び出す Cisco HTML コードを挿入します。これにより、Login フォームと言語セレクタ ドロップダウン リストが作成されます。
この項では、独自の HTML コードを作成するために必要な修正、および ASA でユーザー独自のコードを使用するために設定する必要があるタスクについて説明します。
次の図に、クライアントレス SSL VPN ユーザーに表示される標準の Cisco ログイン画面を示します。Login フォームは、HTML コードで呼び出す関数によって表示されます。
次の図に、[Language Selector]ドロップダウン リストを示します。この機能は、クライアントレス SSL VPN ユーザーにはオプションとなっており、ログイン画面の HTML コード内の関数によっても呼び出されます。
次の図に、フル カスタマイゼーション機能によって有効化される簡単なカスタム ログイン画面の例を示します。
次の HTML コードは例として使用され、表示するコードです。
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>New Page 3</title>
<base target="_self">
</head>
<p align="center">
<img border="0" src="/+CSCOU+/cisco_logo.jpg" width="188" height="48"><font face="Snap ITC" size="6" color="#FF00FF">
</font><font face="Snap ITC" color="#FF00FF" size="7"> </font><i><b><font color="#FF0000" size="7" face="Sylfaen"> SSL VPN Service by the Cisco ASA5500</font></b></i></p>
<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
<table>
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p> </p>
<p> </p>
<p> </p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
</table>
字下げされたコードは、画面に Login フォームと言語セレクタを挿入します。関数 csco_ShowLoginForm('lform') は Login フォームを挿入します。csco_ShowLanguageSelector('selector') は、言語セレクタを挿入します。
HTML ファイルの変更
手順
ステップ 1 |
ファイルに login.inc という名前を付けます。ファイルをインポートすると、ASA はこのファイル名をログイン画面として認識します。 |
ステップ 2 |
このファイルで使用されるイメージのパスを変更して、/+CSCOU+/ を含めます。 認証前にリモート ユーザーに表示するファイルは、パス /+CSCOU+/ で表される ASA キャッシュ メモリの特定の領域に配置する必要があります。そのため、このファイルにある各イメージのソースはこのパスに含める必要があります。 次に例を示します。 src=”/+CSCOU+/asa5520.gif” |
ステップ 3 |
下記の特別な HTML コードを挿入します。このコードには、Login フォームと言語セレクタを画面に挿入する前述のシスコの関数が含まれています。
|