يقدم الإصدار 8.0 من برنامج جهاز الأمان القابل للتكيف (ASA) من السلسلة 5500 من Cisco ميزات تخصيص متقدمة تتيح تطوير بوابات ويب جذابة للمستخدمين الذين لا يحتاجون إلى عملاء. يفصل هذا المستند العديد من الخيارات المتوفرة لتخصيص صفحة تسجيل الدخول، أو شاشة الترحيب، وصفحة مدخل الويب.
توصي Cisco بأن تكون لديك معرفة كيفية إستخدام مدير أجهزة الأمان المعدلة (ASDM) من Cisco لتكوين سياسات المجموعة وتوصيفات الاتصال على ASA.
ارجع إلى هذه المستندات للحصول على معلومات عامة:
قبل إعداد بوابة ويب مخصصة، يجب عليك إكمال بعض خطوات تكوين ASA الأساسية. راجع قسم متطلبات التكوين في هذا المستند للحصول على مزيد من المعلومات.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
ASA الإصدار 8.x من Cisco
Cisco ASDM، الإصدار 6.x
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يجب تكوين ASA في التحضير لخطوات التخصيص المقدمة في هذا المستند.
أكمل الخطوات التالية:
في ASDM، أختر Configuration (التكوين) > Remote Access VPN (الوصول عن بعد) > Client SSL VPN Access > Group Policies (نهج المجموعة) لإنشاء نهج مجموعة، والتسويق على سبيل المثال، وحدد خانة الاختيار Client SSL VPN ضمن بروتوكول الاتصال النفقي.
الشكل 1: إنشاء سياسة مجموعة جديدة (تسويق)
أخترت تشكيل>Remote Access VPN>Remote Access VPN>SSL VPN دون زبون>توصيفات توصيل in order to خلقت توصيل profile، مثل sslclient، مع تفاصيل خادم المصادقة المطلوبة، وخادم AAA على سبيل المثال، وعينت مجموعة تسويق نهج.
الشكل 2: إنشاء ملف تعريف اتصال جديد (sslclient)
لمتابعة تكوين ملف تعريف الاتصال، انقر على خيارات متقدمة ثم قم بتكوين عنوان URL لمجموعة لملف تعريف الاتصال.
شكل 3: تكوين عناوين URL الخاصة بالمجموعات لملف تعريف الاتصال
ملاحظة: في هذا المثال، يتم تكوين عنوان URL الخاص بالمجموعة في ثلاثة تنسيقات مختلفة. يمكن للمستخدم إدخال أي منها للاتصال ب ASA من خلال ملف تعريف اتصال sslclient.
أختر Configuration > Remote Access VPN (التكوين) > Remote Access (الوصول عن بعد إلى SSL) VPN Access (الوصول إلى الشبكة الخاصة الظاهرية (VPN) دون عملاء > Portal > Customization)، وأضف كائني التخصيص التاليين:
Custom_Login
Custom_Marketing
ملاحظة: يوضح الشكل 4 كيفية إنشاء كائن custom_login. كرر الخطوات نفسها لإضافة كائن تخصيص تخصيص CUSTOM_MARKETING. على أي حال، لا تقم بتحرير كائنات التخصيص هذه في الوقت الحالي. تتم مناقشة خيارات التكوين المختلفة في الأقسام التالية من هذا المستند.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
في سيناريو نموذجي دون عملاء، يدخل مستخدم بعيد FQDN الخاصة ببروتوكول ASA إلى مستعرض لتسجيل الدخول إليه. ومن هناك تظهر صفحة تسجيل دخول أو شاشة ترحيب. بعد نجاح المصادقة، يعرض المستخدم بوابة ويب تحتوي على جميع التطبيقات المعتمدة.
في الإصدارات الأقدم من 8.0، تدعم بوابة الويب التخصيص المحدود، مما يعني أن جميع مستخدمي ASA يختبرون نفس صفحات الويب. وصفحات الويب هذه، ذات الرسومات المحدودة، منحرفة جدا عن صفحات الإنترانت النموذجية.
يقدم ASA ميزة تخصيص كاملة، والتي تتيح دمج وظيفة "تسجيل الدخول" مع صفحات الويب الموجودة لديك. وإضافة إلى ذلك، هناك تحسينات كبيرة في عملية تكييف بوابة الإنترنت. تمكنك الأمثلة الواردة في هذا المستند من تخصيص صفحات ASA بحيث تحتوي على مظهر والشعور بالتشابه مع صفحات إنترانت الموجودة، مما يوفر تجربة مستخدم أكثر إتساقا عند إستعراض صفحات ASA.
تعمل خيارات التخصيص المختلفة على تعزيز قدرة ASA على توفير المحاكاة الافتراضية أثناء تجربة المستخدم. على سبيل المثال، يمكن تقديم مجموعة تسويق بصفحة تسجيل دخول وبوابة ويب لديهما شكل وأسلوب رؤية مختلفين تماما عن الصفحات المقدمة إلى مجموعات المبيعات أو الهندسة.
يدعم ASA نوعين مختلفين من صفحات WebVPN القابلة للتخصيص.
عندما يدخل مستخدم ال https://asa.cisco.com/sslclient مجموعة-url في متصفح in order to ربطت إلى ال ASA، هذا تقصير login صفحة:
الشكل 5: صفحة تسجيل الدخول الافتراضية
لتعديل صفحة تسجيل الدخول هذه، يمكنك تحرير التخصيص المرتبط بملف تعريف الاتصال. تظهر الخطوات المطلوبة لتعديل هذا التخصيص في قسم تخصيص صفحة تسجيل الدخول في هذا المستند. في الوقت الحالي، أكمل الخطوات التالية:
أخترت تشكيل>Remote Access VPN وصول>SSL VPN بدون زبون>توصيل > توصيل توصيفات.
قم بتحرير ملف تعريف اتصال sslclient، وإقران تخصيص Custom_Login بملف تعريف الاتصال هذا.
بعد مصادقة المستخدم، تظهر صفحة مدخل ويب الافتراضية هذه:
شكل 7: الصفحة الافتراضية للمدخل
1. يفترض هذا تمكين جميع الإضافات (VNC و ICA و SSH و RDP). إذا لم تكن الإضافات ممكنة، لن تلاحظ التبويبات الخاصة بهم.
لتعديل بوابة الويب هذه، يمكنك تحرير التخصيص المرتبط بنهج المجموعة. تظهر الخطوات المطلوبة لتعديل هذا التخصيص في Customize Web Portal لهذا المستند. في الوقت الحالي، أكمل الخطوات التالية:
أخترت تشكيل>Remote Access VPN>Client Less SSL VPN منفذ > مجموعة سياسات.
قم بتحرير نهج مجموعة التسويق، وإقران تخصيص Custom_Marketing بنهج المجموعة هذا.
ملاحظة: يمكن ربط توصيفات توصيل متعددة، لكل منها نظام مصادقة خاص بها، مثل RADIUS أو LDAP أو الشهادات، بنهج مجموعة واحد. لذلك، يكون لديك الخيار لإنشاء صفحات تسجيل دخول متعددة، على سبيل المثال، تخصيص تسجيل دخول واحد لكل ملف تعريف اتصال، ويمكن ربط كل هذه الصفحات بنفس تخصيص بوابة الويب المقترن بنهج مجموعة التسويق.
هذه عينة من مدخل ويب مخصص:
الشكل 9: صفحة مدخل ويب مخصصة
لاحظ أن الصفحة تحتوي على عنوان بنظام ألوان متدرجة وشعار للتسويق وبعض الإشارات المرجعية للويب مع المصغرات وموجز ويب ل RSS وصفحة إنترانت مخصصة. تتيح صفحة إنترانت المخصصة للمستخدم النهائي التنقل في صفحة إنترانت الخاصة به واستخدام علامات التبويب الأخرى على بوابة الويب في الوقت نفسه.
ملاحظة: ما زلت بحاجة إلى الاحتفاظ بالتسطير التفصيلي لصفحة الويب باستخدام الإطارات العلوية واليسرى، مما يعني، على وجه التحديد، أن هذه الصفحة غير قابلة للتخصيص بشكل كامل. يمكنك تغيير العديد من المكونات الصغيرة للحصول على نظرة أقرب ما يمكن إلى بوابات إنترانت.
يغطي هذا القسم كيفية تكوين كل مكون فردي في بوابة الويب باستخدام محرر التخصيص في ASDM.
لتكوين لوحة العنوان، يتم تمكين خيارات التخصيص التالية:
شكل 11: محرر التخصيص: تكوين لوحة العنوان
لتخصيص الشعار في لوحة العنوان، قم بتحميل صورة الشعار إلى ASA.
شكل 12: تحميل ملف الشعار Marketing.gif كمحتوى ويب إلى ASA
أختر وصول SSL VPN بدون عملاء > مدخل > محتويات الويب، وانقر إستيراد، وقم بتوفير المسار لملف الشعار على الكمبيوتر المحلي الخاص بك. قم بتحميله كمحتوى ويب في الدليل /+CSCOU+/.
أدخل عنوان URL الخاص بشعار /+CSCo+/marketing.gif، كما هو موضح في الشكل 12.
أدخل تسويق ASA VPN كنص.
انقر زر ... لاختيار لون الخط ولون الخلفية.
قم بتمكين خيار التدرج لإنشاء نموذج لوني جاذب.
لتكوين العنوان/شريط الأدوات هذا، قم بتحرير خيارات التخصيص التالية:
الشكل 14: محرر التخصيص: تكوين شريط الأدوات
ملاحظة: يتم تمكين شريط الأدوات بشكل افتراضي. في هذا المثال، يتم إعادة تسمية الحقول المتبقية، مثل عنوان مربع المطالبة ونص زر الاستعراض ومطالبة تسجيل الخروج، كما هو موضح.
لإضافة مصغرات بجوار الإشارات المرجعية، أكمل الخطوات التالية:
قم بتحميل الصورة المطلوبة إلى الدليل /+CSCOU+/.
شكل 16: تحميل صورة المصغرات للاقتران بالإشارات المرجعية
أربط صورة المصغرات بإشارات ASA المرجعية.
أختر مدخل > إشارات مرجعية.
انقر فوق إضافة (Add). أدخل تطبيقات لاسم قائمة الإشارات المرجعية.
انقر فوق إضافة (Add). أدخل تسويق ASA لعنوان الإشارة المرجعية.
أدخل http://cisco.com/go/asa كقيمة عنوان URL، واختر خيارات متقدمة.
انقر فوق إدارة. أختر مصغر /+CSCo+/5550-1.gif الذي تم تحميله مسبقا، وانقر موافق.
شكل 17: إقران المصغرات بإشارات مرجعية
أربط الإشارات المرجعية بنهج مجموعة ASA.
أختر Configuration (التكوين) > Remote Access VPN (الوصول عن بعد)>الوصول إلى SSL VPN بدون عملاء > سياسات المجموعة، وقم بتحرير سياسة التسويق.
أختر البوابة. قم بإلغاء تحديد توريث بجوار قائمة الإشارات المرجعية، ثم حدد تطبيقات من القائمة المنسدلة.
الشكل 18: ربط الإشارات المرجعية مع نهج المجموعة (التسويق)
لعرض موجز ويب ل RSS مخصص، قم بتحرير عناصر التخصيص التالية:
الشكل 20: الأجزاء المخصصة: تكوين موجز RSS
ملاحظة: موجز RSS ل Cisco Security Advisory: http://newsroom.cisco.com/data/syndication/rss2/SecurityAdvisories_20.xml.
لتكوين صفحة ويب إنترانت المخصصة هذه، قم بتحرير عناصر التخصيص التالية:
الشكل 22: محرر التخصيص: تكوين الأجزاء المخصصة
ملاحظة: عنوان URL لصفحة Cisco CCO: http://cisco.com/en/US/netsol.
لتكوين أسماء علامات تبويب التطبيق، قم بتحرير عناصر التخصيص التالية:
الشكل 24: تخصيص أسماء علامات تبويب التطبيق
ملاحظة: يمكنك تشغيل التطبيقات بشكل انتقائي، كما يمكنك إعادة ترتيبها باستخدام الارتباطات لأعلى ولأسفل.
لإضافة المصغرات المفضلة الخاصة بك بجوار أسماء التطبيقات، مثل الأيقونات في المثال، أكمل الخطوات التالية:
من صفحة المدخل، انقر بزر الماوس الأيمن على صورة المصغر الافتراضية للعثور على اسمها وموقعها.
لعلامة التبويب الرئيسية، يكون موقع صورة المصغرات /+CSCo+/nv-home.gif.
لعلامة التبويب تطبيقات الويب، مكان المصغر هو /+CSCo+/nv-web-access.gif.
قم باستيراد الصورة المطلوبة كمحتوى ويب إلى ASA بالاسم الذي تم التقاطه في الخطوة الأولى.
على سبيل المثال، إذا كنت تريد إقران disney.gif بعلامة التبويب تطبيقات الويب، قم باستيراده على هيئة nv-web-access.gif.
شكل 26: إدراج مصغرات لتبويبات التطبيقات
بشكل افتراضي، توفر Cisco ملفات تعليمات لاستخدام التطبيق. يمكن إستبدال هذه الصفحات بصفحات HTML المخصصة الخاصة بك. على سبيل المثال، في الشكل 27، يمكنك إضافة صورة مخصصة إلى صفحة التعليمات.
شكل 27: صفحة تعليمات مخصصة
لتخصيص ملفات التعليمات، أكمل الخطوات التالية:
أختر مدخل > مساعدة التخصيص، وانقر إستيراد.
حدد اللغة.
حدد ملف .inc. على سبيل المثال، إذا كنت تريد تحرير صفحة التعليمات المرادفة لعلامة التبويب الوصول إلى تطبيق ويب، حدد الملف web-access-hlp.inc.
أختر ملف HTML المخصص.
الشكل 28: إستيراد ملفات التعليمات المخصصة للوصول إلى التطبيق
عند هذه النقطة، قم بتسجيل الدخول إلى ASA على https://asa.cisco.com/sslclient. بعد المصادقة الناجحة، تظهر لك بوابة الويب المخصصة.
هذه هي صفحة تسجيل الدخول الافتراضية:
شكل 29: صفحة تسجيل الدخول الافتراضية
هذه صفحة تسجيل دخول مخصصة بالكامل:
شكل 30: صفحة تسجيل دخول مخصصة بالكامل
تتضمن صفحة تسجيل الدخول الجديدة شعارا وعنوانا وصورة مخصصة مع مربع حوار تسجيل الدخول/كلمة المرور. صفحة تسجيل الدخول قابلة للتخصيص بالكامل، مما يعني أنه يمكنك إنشاء أي صفحة HTML وإدخال شاشة تسجيل الدخول/كلمة المرور في الموقع المرغوب.
ملاحظة: في حين أن صفحة تسجيل الدخول بالكامل قابلة للتخصيص، فإن مربع الحوار الخاص بتسجيل الدخول/كلمة المرور الذي يقوم ASA بتحميله إلى المستخدم النهائي غير قابل للتخصيص بالكامل.
باستخدام التخصيص الكامل، يمكنك توفير HTML لشاشة تسجيل الدخول الخاصة بك، ثم إدراج رمز HTML من Cisco الذي يدعو الوظائف على جهاز الأمان الذي يقوم بإنشاء نموذج تسجيل الدخول والقائمة المنسدلة محدد اللغة.
تصف الأقسام التالية من هذا المستند التعديلات المطلوبة في رمز HTML والمهام المطلوبة لتكوين جهاز الأمان لاستخدام الرمز الجديد.
تم الحصول على HTML هذا من محرر Microsoft FrontPage. وهو يتضمن العنوان والشعار المخصص والصورة والتذييل.
ملاحظة: يتم حفظ الصور 5550.gif و asa.gif في الدليل login_files. المساحات الفارغة مقصودة، ويتم إستبدالها بشاشة تسجيل الدخول/كلمة المرور في خطوات لاحقة.
عند هذه النقطة، تبدو الصفحة مثل الشكل 31. لاحظ كيف أنها تتضمن مساحة فارغة للسماح بإدخال الشاشة في الخطوات المستقبلية.
الشكل 31: صفحة الويب الأولية
لكل الصور، استبدل المسار بالكلمة الأساسية /+CSCo+/، والذي هو دليل داخلي في ASA. عندما تقوم بتحميل صورة إلى ASA، يتم حفظ الصورة في الدليل /+CSCo+/ الداخلي في نظام ملف ASA. لاحقا، عندما يقوم ASA بتحميل HTML المعدل، فإنه يقوم بتحميل ملفات الصورة بشكل صحيح.
شكل 32: رمز HTML المعدل
ملاحظة: في الارتباط الأول، يتم إستبدال login_files/5550.gif ب /+CSCo+/5550.gif.
تتمثل الخطوة التالية في إعادة تسمية هذا الملف login.html إلى login.inc.
يلزم توفر ملحق .inc حتى يتمكن ASA من التعرف على هذا كنوع خاص من الملفات ويتضمن البرنامج النصي الضروري لجافا لدعم مربع الحوار تسجيل الدخول/كلمة المرور.
يجب إضافة رمز HTML هذا في الموقع الذي تريد عرض مربع الحوار تسجيل الدخول/كلمة المرور فيه.
<body onload="csco_ShowLoginForm('lform'); csco_ShowLanguageSelector('selector')" bgcolor="white"> <table> <tr><td colspan=3 height=20 align=right> <div id="selector" style="width: 300px"></div> </td></tr> <tr> <td align=middle valign=middle>Loading... </div> </td> </tr> </table>
ملاحظة: الدالتان الأولان cisco_showLoginForm(lform) وcisco_ShowLanguageSelector(selector) هما دالتان من وظائف البرامج النصية لجافا يتم إستيراد تعريفهما بواسطة ASA عندما يقوم بتمثيل ملف .inc. في هذا الرمز، تقوم باستدعاء الدالة ببساطة لعرض مربع حوار تسجيل الدخول/كلمة المرور مع محدد اللغة.
ملاحظة: يمثل مربع الحوار كعنصر جدول. يمكن التفاف هذا حول صور أخرى أو نص أو محاذي كما ترى مناسب لصفحة HTML الخاصة بك.
في هذا السيناريو، يظهر مربع الحوار تسجيل الدخول/كلمة المرور فوق صورة asa.gif في المركز. عندما تقوم بإدراج الرمز، فإن صفحة HTML النهائية تبدو كما يلي:
تتمثل الخطوة التالية في تحميل ملف login.inc النهائي وملفات الصور كمحتويات ويب إلى ASA. تحتاج إلى التأكد من تحديد الخيار السفلي لحفظ الملفات في الدليل /+CSCo+/.
شكل 33: إستيراد ملفات الصور كمحتوى ويب إلى ASA
أخيرا، في محرر التخصيص، حدد علامة التبويب التخصيص الكامل، وقم بتوفير إرتباط إلى ملف login.inc الذي قمت بتحميله. عندما يتصل المستخدم النهائي من ملف تعريف اتصال مرتبط بهذا التخصيص، مثل sslclient، يرى المستخدم صفحة تسجيل الدخول المخصصة بالكامل.
الشكل 34: قم بإقران login.inc ليكون الملف للتخصيص الكامل
عند إتصالك ب ASA من خلال https://asa.cisco.com/sslclient، تظهر صفحة تسجيل الدخول المخصصة بالكامل.
الشكل 35: صفحة تسجيل الدخول النهائية المخصصة بالكامل
كما هو موضح، يتم تحرير جميع التخصيصات باستخدام إدارة قاعدة بيانات المحول (ASDM). ومع ذلك، لا يزال يمكنك إستخدام أوامر CLI هذه لحذف التخصيصات ومحتوى WebVPN الآخر:
إرجاع WebVPN:
all Revert all webvpn related data customization Revert customization file plug-in Revert plug-in options translation-table Revert translation table url-list Revert a list of URLs for use with WebVPN webcontent Revert webcontent
على سبيل المثال:
لحذف تخصيص، قم بإصدار أمر واجهة سطر الأوامر revert webVPN customization Custom_Marketing CLI.
لحذف ملف الشعار، قم بإصدار الأمر revert webVPN webcontent /+CSCou+/marketing.gif.
لحذف الإشارات المرجعية، قم بإصدار الأمر return webVPN url-list marketing_url_list.
لحذف كل التخصيصات، محتويات الويب، الإضافات، والإشارات المرجعية، قم بإصدار الأمر revert webVPN all.
ملاحظة: نظرا لأنه لا يتم حفظ تخصيصات WebVPN في التكوين الجاري تشغيله، فإنه يتم مسح الكتابة بشكل نموذجي، ولا يقوم تسلسل إعادة التحميل بمسح التخصيصات أو محتويات الويب من ASA. يجب عليك إصدار أوامر return webVPN أو حذف التخصيصات يدويا من ASDM.
بخلاف أوامر CLI الأخرى، لا يتم حفظ التخصيصات في التكوين الجاري تشغيله. بدلا من ذلك، تحتاج إلى تصدير التخصيصات بشكل صريح، ويتم حفظها بتنسيق XML إلى الكمبيوتر المضيف.
الشكل 36: تصدير التخصيص إلى النسخ الاحتياطي أو النسخ المتماثل إلى ASA آخر
لاستعادة التخصيصات، قم باستيرادها باستخدام ملف XML الذي تم الحصول عليه في الخطوة السابقة.
الشكل 37: إستيراد تخصيص من ملف XML تم تصديره مسبقا
ملاحظة: بالإضافة إلى تصدير/إستيراد التخصيص، تحتاج أيضا إلى نسخ/إستعادة محتوى الويب يدويا، والذي يتضمن ملفات الصور وملفات التعليمات وصور المصغرات بشكل صريح. وإلا، فإن التخصيص لا يعمل بشكل كامل.
تتيح ميزات التخصيص المتقدمة التي تم إدخالها في الإصدار 8.0 من ASA إمكانية تطوير صفحات صفحات صفحات صفحات صفحات بوابة الويب الجذابة. يمكنك تحقيق المحاكاة الافتراضية عن طريق إنشاء بوابات ويب مخصصة مختلفة لمجموعات مختلفة. بالإضافة إلى ذلك، يمكن تخصيص صفحة تسجيل الدخول بشكل كامل لتطابق بوابات الويب العادية على الإنترانت التي توفر تجربة مستخدم متناسقة.
قد تتلقى رسالة الخطأ هذه بعد تمكين تخصيص WebVPN:
%ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/ja/LC_MESSAGES/PortForwarder.po' to a temporary ramfs file failed %ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/ja/LC_MESSAGES/webvpn.po' to a temporary ramfs file failed %ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/fr/LC_MESSAGES/customization.po' to a temporary ramfs file failed.
لحل هذه المشكلة، قم بتشغيل الأمر revert webVPN all، وإعادة تحميل ASA.