ASA 8.0 SSLVPN (WebVPN) : 高级入口定制
目录
简介
Cisco 自适应安全设备 (ASA) 5500 系列软件版本 8.0 引入了高级自定义功能,使用此功能可以为无客户端用户开发极具吸引力的 Web 门户。本文档详细介绍了多个可用于自定义登录页或欢迎页以及 Web 门户页的选项。
先决条件
要求
Cisco 建议您了解如何使用 Cisco 自适应安全设备管理器 (ASDM) 以便在 ASA 上配置组策略和连接配置文件。
有关一般信息,请参阅以下文档:
在设置自定义 Web 门户之前,您必须完成一些基本的 ASA 配置步骤。有关详细信息,请参阅本文档的配置要求部分。
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
Cisco ASA 版本 8.x
-
Cisco ASDM 版本 6.x
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
配置要求
在准备执行本文档中介绍的自定义步骤之前,您必须配置 ASA。
请完成以下步骤:
-
在 ASDM 中,选择 Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies 以创建组策略(例如 Marketing),并选中隧道协议下的 Clientless SSL VPN 复选框。
图 1:创建新的组策略 (Marketing)
-
选择 Configuration > Remote Access VPN > Clientless SSL VPN > Connection Profiles 以创建连接配置文件(例如 sslclient),设置所需的身份验证服务器详细信息(例如 AAA 服务器),并指定 Marketing 组策略。
图 2:创建新的连接配置文件 (sslclient)
-
要继续配置连接配置文件,请单击 Advanced,然后配置连接配置文件的 group-url。
图 3:配置连接配置文件的 Group-URL
注意:在本示例中,group-url配置为三种不同格式。用户可以输入其中任何一种配置,以通过 sslclient 连接配置文件连接 ASA。
-
选择 Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Customization,然后添加以下两个自定义对象:
-
Custom_Login
-
Custom_Marketing
注意: 图 4 介绍了如何创建 Custom_Login 对象。重复执行相同步骤以添加 Custom_Marketing 自定义对象。但是,请勿在此时编辑这些自定义对象。本文档的后续部分将讨论各种配置选项。
-
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
自定义概述
在典型的无客户端方案中,远程用户可以在浏览器中输入 ASA 的 FQDN 以登录 ASA。此时会出现一个登录页或欢迎屏幕。成功通过身份验证后,用户将会看到 Web 门户以及所有授权应用程序。
在 8.0 之前的版本中,Web 门户仅支持有限的自定义,也就是说所有 ASA 用户都使用相同的网页。这些网页仅具有少数图片,它们与典型的 intranet 页差别很大。
更好的外观
ASA 引入了完全自定义功能,使用此功能可以将“登录”功能集成到您现有的网页中。此外,它还极大改进了 Web 门户的自定义功能。本文档的示例使您可以自定义 ASA 页,以使其外观贴近现有的 intranet 页,从而在用户浏览 ASA 页时提供更加一致的用户体验。
虚拟化
多种自定义选项增强了 ASA 在用户体验期间提供虚拟化的功能。例如,Marketing 组的登录页和 Web 门户可以具有与 Sales 或 Engineering 组完全不同的外观。
支持页
ASA 支持两种不同类型的可自定义 WebVPN 页。
登录 页
当用户在浏览器中输入 https://asa.cisco.com/sslclient group-url 以连接 ASA 时,将会看到以下默认登录页:
图 5:默认登录页 
要修改此登录页,您可以编辑与连接配置文件关联的自定义项。用于修改此自定义项的步骤将在本文档的自定义登录页部分介绍。现在,请执行下列步骤:
-
选择 Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles。
-
编辑 sslclient 连接配置文件,并将 Custom_Login 自定义项与此连接配置文件关联。
门户页
用户经过身份验证后,系统将显示以下默认1 Web门户页面:
图 7:默认门户页 
1.这假设所有插件(VNC、ICA、SSH和RDP)都已启用。如果插件未启用,您不会注意到其选项卡。
要修改此 Web 门户,您可以编辑与组策略关联的自定义项。用于修改此自定义项的步骤将在本文档的自定义 Web 门户中介绍。现在,请执行下列步骤:
-
选择 Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies。
-
编辑 Marketing group 策略,然后将 Custom_Marketing 自定义项与此组策略关联。
注意:多个连接配置文件(每个配置文件都有其自己的身份验证方案,如RADIUS、LDAP或证书)可以与单个组策略关联。因此,您可以创建多个登录页(例如为每个连接配置文件创建一个登录自定义项),这些登录页可与同一 Web 门户(与 Marketing 组策略关联)相关联。
自定义 Web 门户
以下是一个自定义 Web 门户示例:
图 9:自定义 Web 门户页 
请注意,此页面中具有一个采用渐变颜色设计的标题、一个 Marketing 徽标、一些带有缩略图的 Web 书签、一个 RSS 源以及一个自定义 intranet 页。使用自定义 intranet 页,终端用户可以在其 intranet 页中导航,同时还可以使用 Web 门户上的其他选项卡。
注意:您仍然需要保留包含左上框的网页布局,这意味着严格来说,此页面不是完全可定制的。您可以更改多个小组件,以尽量贴近您的 intranet 门户的外观。
本部分介绍如何使用 ASDM 的自定义编辑器配置 Web 门户中的各个组件。
标题面板
图 10:标题面板 
要配置标题面板,可以使用以下自定义选项:
图 11:自定义编辑器:标题面板配置 
徽标 URL
要自定义标题面板中的徽标,请将徽标图像上载到 ASA。
图 12:将徽标文件 marketing.gif 作为 Web 内容上载到 ASA 
-
选择 Clientless SSL VPN Access > Portal > Web Contents,单击 Import,然后提供徽标文件在本地计算机上的路径。将其作为 Web 内容上载到 /+CSCOU+/ 目录中。
-
输入 /+CSCOU+/marketing.gif 徽标 URL,如图 12 所示。
-
输入 ASA VPN Marketing 作为文本。
-
单击 … 按钮以选择字体颜色和背景颜色。
-
启用 Gradient 选项以创建具有吸引力的渐变颜色模式。
工具栏
图 13:自定义工具栏 
要配置此地址/工具栏,请编辑以下自定义选项:
图 14:自定义编辑器:工具栏配置 
注意:默认情况下启用工具栏。在本示例中,我们修改了其余字段的名称,例如提示框标题,浏览按钮文本和注销提示等,如下所示。
带缩略图的 Web 书签
图 15:带缩略图的自定义书签 
要在书签旁添加缩略图,请执行下列步骤:
-
将所需图像上载到 /+CSCOU+/ 目录中。
图 16:上载要与书签关联的缩略图图像
-
将缩略图图像与 ASA 书签关联。
-
选择 Portal > Bookmarks。
-
单击 Add。输入 Applications 作为书签列表名称。
-
单击 Add。输入 ASA Marketing 作为书签标题。
-
输入 http://cisco.com/go/asa 作为 URL 值,并选择 Advanced Options。
-
单击 Manage。选择之前上载的 /+CSCOU+/5550-1.gif 缩略图,然后单击 OK。
图 17:将缩略图与书签关联
-
-
将书签与 ASA 组策略关联。
自定义窗格:RSS 源
图 19:自定义 RSS 源 
要显示自定义 RSS 源,请编辑以下自定义元素:
图 20:自定义窗格:RSS 源配置 
注意:思科安全顾问的RSS源:http://newsroom.cisco.com/data/syndication/rss2/SecurityAdvisories_20.xml。
自定义窗格:自定义 Intranet 页
图 21:自定义 Intranet 网页 
要配置此自定义 Intranet 网页,请编辑以下自定义元素:
图 22:自定义编辑器:自定义窗格配置 
注意:思科CCO页面的URL:http://cisco.com/en/US/netsol。
自定义应用程序选项卡名称
图 23:自定义应用程序选项卡名称 
要配置应用程序选项卡名称,请编辑以下自定义元素:
图 24:自定义应用程序选项卡名称 
注意:您可以选择性地启用应用,并使用“上”和“下”链接重新排列它们。
自定义应用程序缩略图
图 25:自定义应用程序缩略图 
要在应用程序名称旁添加喜爱的缩略图(例如示例中的图标),请执行下列步骤:
-
从门户页中,右键单击默认缩略图图像以查找其名称和位置。
-
对于 Home 选项卡,缩略图图像的位置是 /+CSCOU+/nv-home.gif。
-
对于 Web Applications 选项卡,缩略图图像的位置是 /+CSCOU+/nv Webaccess.gif。
-
-
将所需图像作为 Web 内容导入到 ASA 中,并使用在第一步中获得的名称。
例如,如果要将 disney.gif 与 Web Applications 选项卡关联,请将其导入为 nv-web-access.gif。
图 26:导入应用程序选项卡的缩略图
自定义应用程序帮助页
默认情况下,Cisco 将会提供应用程序的使用帮助文件。您可以使用自己的自定义 HTML 页面替换这些页面。例如,在表 27 中,您可以在帮助页中添加一个自定义图像。
图 27:自定义帮助页 
要自定义帮助文件,请执行下列步骤:
-
选择 Portal > Help Customization,然后单击 Import。
-
选择 Language。
-
选择 .inc 文件。例如,如果要编辑对应于 Web Application 访问选项卡的帮助页,请选择 web-access-hlp.inc 文件。
-
选择您的自定义 HTML 文件。
图 28:导入自定义应用程序访问帮助文件
测试自定义项
此时,请访问 https://asa.cisco.com/sslclient 以登录 ASA。成功通过身份验证后,您的自定义 Web 门户将会出现。
自定义登录页
以下是默认登录页:
图 29:默认登录页
以下是一个完全自定义的登录页:
图 30:完全自定义的登录页 
新的登录页包含一个自定义徽标、标题、图像以及登录名/口令对话框。此登录页是可完全自定义的,也就是说您可以构建任何 HTML 页,并在所需位置插入登录名/口令对话框。
注意:虽然整个登录页是可自定义的,但ASA加载到最终用户的特定登录/密码对话框并非完全可自定义。
使用完全自定义功能,您可以为自己的登录屏幕提供 HTML,然后插入 Cisco HTML 代码,并通过这些代码调用安全设备上的功能以创建登录表单和语言选择器下拉列表。
本文档的以下部分将介绍如何修改 HTML 代码,以及配置安全设备使用新代码所需的任务。
从您自己的 HTML 文件开始
以下 HTML 是从 Microsoft FrontPage 编辑器中获得的。它包括标题、自定义徽标、一个图像和页脚。
注意:图像5550.gif和asa.gif保存在目录login_files中。空白区域是有意留下的,在后续步骤中会将这些区域替换为登录名/口令对话框。
此时,页面看起来像图31。注意它如何包括空白,以便在后续步骤中插入对话框。
图 31:最初的网页 
修改图像位置的链接
对于所有图像,请将路径替换为关键字 /+CSCOU+/,此关键字是 ASA 的内部目录。当您将图像上载到 ASA 后,此图像将保存到 ASA 文件系统的 /+CSCOU+/ 内部目录中。之后,当 ASA 加载经过修改的 HTML 时,它将正确加载此图像文件。
图 32:经过修改的 HTML 代码 
注意:在第一个链接中,login_files/5550.gif将替换为/+CSCOU+/5550.gif。
重命名 HTML 文件
下一步是将此 login.html 文件重命名为 login.inc。
必须使用 .inc 扩展名,这样 ASA 才能将其识别为特殊类型文件,并包含必要的 Java 脚本以支持登录名/口令对话框。
在 login.inc 文件中添加代码
您必须在要显示登录名/口令对话框的位置添加以下 HTML 代码。
<body onload="csco_ShowLoginForm('lform');
csco_ShowLanguageSelector('selector')"
bgcolor="white">
<table> <tr><td colspan=3 height=20 align=right>
<div id="selector" style="width: 300px"></div> </td></tr>
<tr> <td align=middle valign=middle>
Loading...
</div> </td> </tr> </table>
注意:前两个函数csco_ShowLoginForm(lform)和csco_ShowLanguageSelector(selector)是两个Java脚本函数,其定义在ASA呈现.inc文件时由ASA导入。在此代码中,您只需调用这两个函数即可显示登录名/口令对话框以及语言选择器。
注意:该对话框表示为表元素。您可以使用其他图像或文本对其进行修饰,或是根据 HTML 页的外观调整其位置。
在本示例中,登录名/口令对话框将在 asa.gif 图像上方居中显示。当您插入此代码后,最终 HTML 页的外观如下所示:
将 login.inc 和图像文件作为 Web 内容上载到 ASA
下一步是将最终的 login.inc 文件和图像文件作为 web 内容上载到 ASA。您需要确保选中底部选项以将这些文件保存在 /+CSCOU+/ 目录中。
图 33:将图像文件作为 Web 内容导入到 ASA 
选择 login.inc 作为要进行完全自定义的文件
最后,在自定义编辑器中,选择 Full Customization 选项卡,然后提供您上载的 login.inc 文件的链接。当终端用户从与此自定义项关联的连接配置文件(例如 sslclient)连接时,用户将看到完全自定义的登录页。
图 34:将 login.inc 关联为要完全自定义的文件 
测试完全自定义项
当您通过 https://asa.cisco.com/sslclient 连接到 ASA 时,完全自定义的登录页将会出现。
图 35:最终的完全自定义的登录页 
CLI 支持
如前所述,所有自定义项都是使用 ASDM 进行编辑的。但是,您仍可使用以下 CLI 命令以删除自定义项和其他 Webvpn 内容:
revert webvpn:
all Revert all webvpn related data customization Revert customization file plug-in Revert plug-in options translation-table Revert translation table url-list Revert a list of URLs for use with WebVPN webcontent Revert webcontent
例如:
-
要删除自定义项,请发出 revert webvpn customization Custom_Marketing CLI 命令。
-
要删除徽标文件,请发出 revert webvpn webcontent /+CSCOU+/marketing.gif 命令。
-
要删除书签,请发出 revert webvpn url-list Marketing_URL_List 命令。
-
要删除所有自定义项、web 内容、插件和书签,请发出 revert webvpn all 命令。
注意:由于WebVPN自定义项未保存在运行配置中,因此典型的写擦除,reload序列不会从ASA中清除自定义项或Web内容。您必须显式发出 revert webvpn 命令或从 ASDM 中手动删除自定义项。
备份自定义项
与其他 CLI 命令不同的是,自定义项不会保存在运行配置中。相反,您需要显式导出自定义项,然后它们会以 XML 格式保存至主机计算机中。
图 36:将自定义项导出到备份或将其复制到其他 ASA 
要恢复自定义项,请通过上一步中获得的 XML 文件导入它们。
图 37:从之前导出的 XML 文件导入自定义项 
注意:除了导出/导入自定义项外,您还需要手动备份/恢复Web内容,其中显式地包括图像文件、帮助文件和缩略图图像。否则,自定义将不能完全发挥功能。
结论
使用 ASA 版本 8.0 中引入的高级自定义功能可以开发极具吸引力的 Web 门户页。您可以通过为不同的组创建不同的自定义 Web 门户以实现虚拟化。此外,您可以完全自定义登录页,以使其外观匹配常规 intranet web 门户,从而提供一致的用户体验。
故障排除
启用WebVPN自定义后,您可能会收到以下错误消息:
%ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/ja/LC_MESSAGES/PortForwarder.po' to a temporary ramfs file failed %ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/ja/LC_MESSAGES/webvpn.po' to a temporary ramfs file failed %ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/fr/LC_MESSAGES/customization.po' to a temporary ramfs file failed.
要解决此问题,请运行revert webvpn all命令,然后重新加载ASA。
反馈