ASA 8.0 SSLVPN(WebVPN): 高級門戶定製
目錄
簡介
Cisco Adaptive Security Appliance(ASA)5500系列軟體8.0版引入了高級定製功能,可為無客戶端使用者開發有吸引力的Web門戶。本檔案將詳細介紹可用於自訂登入頁面(歡迎螢幕)和Web輸入網站頁面的多個選項。
必要條件
需求
思科建議您瞭解如何使用思科自適應安全裝置管理器(ASDM)在ASA上配置組策略和連線配置檔案。
如需一般資訊,請參閱以下檔案:
在設定自定義Web門戶之前,您必須完成一些基本的ASA配置步驟。如需詳細資訊,請參閱本檔案的組態要求一節。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
-
Cisco ASA版本8.x
-
Cisco ASDM版本6.x
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
配置要求
您必須配置ASA以準備執行本文檔中介紹的自定義步驟。
請完成以下步驟:
-
在ASDM中,選擇Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies以建立組策略,例如Marketing,並選中隧道協定下的Clientless SSL VPN覈取方塊。
圖1:建立新的組策略(行銷)
-
選擇Configuration > Remote Access VPN > Clientless SSL VPN > Connection Profiles以建立連線配置檔案(例如sslclient),以及所需的身份驗證伺服器詳細資訊(例如AAA伺服器),並分配Marketing組策略。
圖2:建立新的連線配置檔案(sslclient)
-
若要繼續配置連線配置檔案,請按一下Advanced,然後為連線配置檔案配置group-url。
圖3:為連線配置檔案配置組URL
注意:在本示例中,group-url以三種不同的格式配置。使用者可以輸入其中任一項,以便通過sslclient連線配置檔案連線到ASA。
-
選擇Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Customization,然後新增以下兩個自定義對象:
-
Custom_Login
-
Custom_Marketing
附註: 圖4說明瞭如何建立Custom_Login對象。重複相同步驟以新增Custom_Marketing自定義對象。但是,此時請勿編輯這些自定義對象。各種配置選項將在本文檔的後續章節中討論。
-
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
自定義概述
在典型的無客戶端場景中,遠端使用者將ASA的FQDN輸入瀏覽器以登入。從此處將顯示登入頁面或歡迎螢幕。身份驗證成功後,使用者會檢視包含所有授權應用程式的Web門戶。
在8.0之前的版本中,Web門戶支援有限的自定義功能,這意味著所有ASA使用者都遇到相同的網頁。這些網頁的圖形非常有限,與典型的Intranet網頁非常不同。
更好的外觀
ASA引入了完全自定義功能,該功能可將「登入」功能與您的現有網頁整合。此外,對Web門戶的定製也有重大改進。通過本文檔中的示例,您可以自定義ASA頁面,使其外觀和感覺與現有Intranet頁面相似,這樣在瀏覽ASA頁面時可提供更一致的使用者體驗。
虛擬化
各種定製選項增強了ASA在使用者體驗期間提供虛擬化的能力。例如,可以為Marketing組顯示與Sales或Engineering組顯示的頁面完全不同的登入頁和Web門戶。
支援的頁面
ASA支援兩種可自定義的不同型別的WebVPN頁面。
登入頁面
當使用者將https://asa.cisco.com/sslclient group-url輸入瀏覽器以連線到ASA時,系統會顯示此預設登入頁面:
圖5:預設登入頁面 
為了修改此登入頁,您可以編輯與連線配置檔案關聯的自定義。修改此自定義設定所需的步驟出現在本文檔的自定義登入頁部分。目前,請完成以下步驟:
-
選擇Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles。
-
編輯sslclient連線配置檔案,並將Custom_Login自定義設定與此連線配置檔案相關聯。
門戶頁面
使用者通過驗證後,系統會顯示此預設的1 Web-portal頁面:
圖7:預設門戶頁面 
1.這假設所有外掛(VNC、ICA、SSH和RDP)均已啟用。如果未啟用外掛,您將不會注意到其頁籤。
為了修改此Web門戶,您可以編輯與組策略關聯的自定義。修改此自定義項所需的步驟出現在本文檔的自定義Web門戶中。目前,請完成以下步驟:
-
選擇Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies。
-
編輯Marketing組策略,並將Custom_Marketing自定義與此組策略相關聯。
注意:可以將多個連線配置檔案(每個連線配置檔案都有自己的身份驗證方案,如RADIUS、LDAP或證書)與單個組策略相關聯。因此,您可以選擇建立多個登入頁,例如為每個連線配置檔案建立一個登入自定義,並且它們都可以與與Marketing組策略關聯的同一Web門戶自定義相關聯。
自定義Web門戶
以下是自訂Web輸入網站範例:
圖9:自訂Web入口頁面 
請注意,該頁面有一個帶有漸變顏色方案的標題、一個行銷徽標、幾個帶有縮圖的Web書籤、一個RSS Feed和一個自定義內部網頁面。自定義內部網頁面允許終端使用者瀏覽其內部網頁面,同時使用Web門戶上的其他頁籤。
注意:您仍需要保留帶有頂框和左框的網頁佈局,嚴格來說,這意味著此頁面不能完全自定義。您可以更改許多小元件,以儘可能接近您的Intranet門戶。
本節介紹如何使用ASDM中的自定義編輯器在Web門戶中配置各個元件。
標題面板
圖10:標題面板 
為了配置標題面板,將啟用以下自定義選項:
圖11:自定義編輯器:標題面板配置 
徽標URL
若要自定義標題面板中的徽標,請將徽標影象上傳到ASA。
圖12:將徽標檔案marketing.gif作為Web內容上傳到ASA 
-
選擇Clientless SSL VPN Access > Portal > Web Contents,按一下Import,然後提供本地電腦上徽標檔案的路徑。將其作為Web內容上傳到/+CSCOU+/目錄中。
-
輸入/+CSCOU+/marketing.gif徽標URL,如圖12所示。
-
輸入ASA VPN Marketing作為文本。
-
按一下...按鈕以選擇「字型顏色」和「背景顏色」。
-
啟用「漸變」選項以建立有吸引力的漸變顏色模式。
工具欄
圖13:自定義工具欄 
要配置此地址/工具欄,請編輯以下自定義選項:
圖14:自定義編輯器:工具欄配置 
注意:預設情況下,工具欄處於啟用狀態。在此示例中,將重新命名其餘欄位,如Prompt Box Title、Browse按鈕文本和Logout Prompt,如圖所示。
帶有縮圖的Web書籤
圖15:帶有縮圖的自定義書籤 
要在書籤旁邊新增縮圖,請完成以下步驟:
-
將所需的映像上傳到/+CSCOU+/目錄。
圖16:上載要與書籤關聯的縮圖影象
-
將縮圖影象與ASA書籤關聯。
-
選擇Portal > Bookmarks。
-
按一下「Add」。為書籤清單名稱輸入Applications。
-
按一下「Add」。為書籤標題輸入ASA Marketing。
-
輸入http://cisco.com/go/asa作為URL值,然後選擇Advanced Options。
-
按一下「Manage」。選擇之前上傳的/+CSCOU+/5550-1.gif縮覽圖,然後按一下OK。
圖17:將縮圖與書籤關聯
-
-
將書籤與ASA組策略相關聯。
自定義窗格:RSS源
圖19:自定義RSS源 
為了顯示自定義RSS源,請編輯以下自定義元素:
圖20:自定義窗格:RSS源配置 
注意:思科安全諮詢的RSS源:http://newsroom.cisco.com/data/syndication/rss2/SecurityAdvisories_20.xml。
自定義窗格:自定義Intranet頁面
圖21:定製內聯網網頁 
要配置此自定義Intranet網頁,請編輯以下自定義元素:
圖22:自定義編輯器:自定義窗格配置 
注意:Cisco CCO頁面的URL:http://cisco.com/en/US/netsol。
自定義應用程式頁籤名稱
圖23:自定義應用程式頁籤名稱 
要配置應用程式頁籤名稱,請編輯以下自定義元素:
圖24:自定義應用程式頁籤名稱 
注意:您可以選擇性地啟用應用程式,也可以使用「向上」和「向下」連結重新排列這些應用程式。
自定義應用程式縮圖
圖25:自定義應用程式縮圖 
要在應用程式名稱(如示例中的圖示)旁邊新增您喜愛的縮圖,請完成以下步驟:
-
在門戶頁面中,按一下右鍵預設縮圖影象以查詢其名稱和位置。
-
在「Home」頁籤中,縮圖影象位置為/+CSCOU+/nv-home.gif。
-
在「Web Applications」頁籤中,縮圖位置為/+CSCOU+/nv-web-access.gif。
-
-
使用步驟1中捕獲的名稱將所需影象作為Web內容匯入ASA。
例如,如果要將disney.gif與Web Applications頁籤相關聯,請將其匯入為nv-web-access.gif。
圖26:匯入應用程式頁籤的縮圖
應用程式的自定義幫助頁面
預設情況下,思科提供應用程式使用幫助檔案。這些頁面可以由您自己的自定義HTML頁面替換。例如,在圖27中,您可以將自定義圖片新增到幫助頁面。
圖27:自定義幫助頁面 
若要自訂幫助檔案,請完成以下步驟:
-
選擇Portal > Help Customization,然後按一下Import。
-
選擇語言。
-
選擇.inc檔案。例如,如果要編輯與「Web應用程式訪問」頁籤對應的幫助頁面,請選擇web-access-hlp.inc檔案。
-
選擇自定義HTML檔案。
圖28:匯入自定義幫助檔案以訪問應用程式
測試自定義
此時,請登入ASA,網址為https://asa.cisco.com/sslclient。驗證成功後,系統會顯示自訂Web輸入網站。
自訂登入頁面
這是預設登入頁面:
圖29:預設登入頁面
這是完全自訂的登入頁面:
圖30:完全自訂登入頁面 
新的登入頁面包括自定義徽標、標題和影象以及登入/密碼對話方塊。登入頁面完全可自定義,這意味著您可以構建任何HTML頁面並在所需位置插入登入/密碼對話方塊。
注意:雖然可以自定義整個登入頁面,但ASA載入到終端使用者的特定登入/密碼對話方塊不能完全自定義。
通過完全自定義,您可以為自己的登入螢幕提供HTML,然後插入Cisco HTML代碼,該代碼呼叫建立登入表單的安全裝置和語言選擇器下拉選單上的功能。
本文檔的後續部分介紹HTML代碼中所需的修改以及配置安全裝置以使用新代碼所需的任務。
從您自己的HTML檔案開始
此HTML是從Microsoft FrontPage編輯器獲得的。它包括標題、自定義徽標、影象和頁尾。
注意:影象5550.gif和asa.gif儲存在目錄login_files中。空格是有意的,在後續步驟中會替換為登入/密碼對話方塊。
此時,頁面看起來像圖31。請注意該頁面如何包括空白空間,以便在以後的步驟中插入對話方塊。
圖31:初始網頁 
修改指向影象位置的連結
對於所有影象,將路徑替換為關鍵字/+CSCOU+/,該關鍵字是ASA中的內部目錄。將映像上傳到ASA時,映像將儲存在ASA檔案系統中的/+CSCOU+/內部目錄中。之後,當ASA載入此修改的HTML時,它將正確載入影象檔案。
圖32:修改的HTML代碼 
注意:在第一個連結中,login_files/5550.gif將替換為/+CSCOU+/5550.gif。
重新命名HTML檔案
下一步是將login.html檔案重新命名為login.inc。
需要.inc副檔名,以便ASA將此檔案識別為特殊型別的檔案,並包括支援登入/密碼對話方塊所需的java指令碼。
向login.inc檔案新增代碼
此HTML代碼必須新增到要顯示登入/密碼對話方塊的位置。
<body onload="csco_ShowLoginForm('lform');
csco_ShowLanguageSelector('selector')"
bgcolor="white">
<table> <tr><td colspan=3 height=20 align=right>
<div id="selector" style="width: 300px"></div> </td></tr>
<tr> <td align=middle valign=middle>
Loading...
</div> </td> </tr> </table>
注意:前兩個函式csco_ShowLoginForm(lform)和csco_ShowLanguageSelector(selector)是兩個java指令碼函式,其定義由ASA在呈現.inc檔案時匯入。在此代碼中,您只需呼叫該函式以顯示登入/密碼對話方塊以及語言選擇器。
註:該對話方塊以表元素表示。它可以包裝在其它影象或文本上,也可以按照您認為適合您的HTML頁面進行調整。
在此場景中,登入/密碼對話方塊顯示在中心的asa.gif影象上方。插入代碼時,最後的HTML頁面如下所示:
將login.inc和影象檔案作為Web內容上傳到ASA
下一步是將最終的login.inc檔案和影象檔案作為Web內容上傳到ASA。您需要確保選擇底部選項,以便將檔案儲存到/+CSCOU+/目錄。
圖33:將影象檔案作為Web內容匯入到ASA 
選擇login.inc作為完全自定義的檔案
最後,在自定義編輯器中,選擇Full Customization頁籤,並提供指向您上傳的login.inc檔案的連結。終端使用者從與此自定義項關聯的連線配置檔案(例如sslclient)連線時,使用者會看到完全自定義的登入頁面。
圖34:將login.inc關聯為完全自定義的檔案 
測試完全自定義
通過https://asa.cisco.com/sslclient連線到ASA時,會顯示完全自定義的登入頁面。
圖35:最終完全自訂登入頁面 
CLI支援
如前所述,所有自定義項都使用ASDM進行編輯。但是,您仍然可以使用這些CLI命令來刪除自定義設定及其他WebVPN內容:
恢復webvpn:
all Revert all webvpn related data customization Revert customization file plug-in Revert plug-in options translation-table Revert translation table url-list Revert a list of URLs for use with WebVPN webcontent Revert webcontent
例如:
-
若要刪除自定義,請發出revert webvpn customization Custom_Marketing CLI命令。
-
若要刪除徽標檔案,請發出revert webvpn webcontent /+CSCOU+/marketing.gif命令。
-
若要刪除書籤,請發出revert webvpn url-list Marketing_URL_List命令。
-
若要刪除所有自定義、Web內容、外掛和書籤,請發出revert webvpn all命令。
注意:由於WebVPN自定義項未儲存在運行配置中,因此典型的write erase、reload序列不會從ASA清除自定義項或webcontents。您必須明確發出revert webvpn命令或從ASDM手動刪除自定義項。
備份自定義項
與其他CLI命令不同,自定義設定不會儲存在運行配置中。相反,您需要顯式匯出自定義設定,並將它們以XML格式儲存到主機電腦。
圖36:將自定義匯出到備份或複製到其他ASA 
若要還原自定義項,請使用在上一步中獲得的XML檔案匯入它們。
圖37:從以前匯出的XML檔案匯入自定義 
注意:除了匯出/匯入自定義項外,您還需要手動備份/還原Web內容,包括顯式映像檔案、幫助檔案和縮圖影象。否則,自定義功能無法完全正常工作。
結論
ASA 8.0版引入的高級定製功能支援開發有吸引力的Web門戶頁面。您可以通過為不同的組建立不同的自定義Web門戶來實現虛擬化。此外,可以完全自定義登入頁,使其與常規內聯網門戶相匹配,從而提供一致的使用者體驗。
疑難排解
啟用WebVPN自定義後,您可能會收到此錯誤消息:
%ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/ja/LC_MESSAGES/PortForwarder.po' to a temporary ramfs file failed %ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/ja/LC_MESSAGES/webvpn.po' to a temporary ramfs file failed %ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/fr/LC_MESSAGES/customization.po' to a temporary ramfs file failed.
要解決此問題,請運行revert webvpn all命令,然後重新載入ASA。
意見