Cisco ASA(Adaptive Security Appliance) 5500 Series 소프트웨어 버전 8.0에는 클라이언트리스 사용자를 위해 매력적인 웹 포털을 개발할 수 있는 고급 사용자 지정 기능이 도입되었습니다.이 문서에서는 로그인 페이지 또는 시작 화면 및 웹 포털 페이지를 사용자 지정하는 데 사용할 수 있는 여러 옵션에 대해 자세히 설명합니다.
Cisco에서는 ASA에서 그룹 정책 및 연결 프로파일을 구성하기 위해 Cisco ASDM(Adaptive Security Device Manager)을 사용하는 방법에 대해 알고 있는 것이 좋습니다.
일반 정보는 다음 문서를 참조하십시오.
Cisco Security Appliance 명령줄 컨피그레이션 가이드, 버전 8.0의 Configuring Clientless SSL VPN 섹션
맞춤형 웹 포털을 설정하기 전에 몇 가지 기본 ASA 컨피그레이션 단계를 완료해야 합니다.자세한 내용은 이 문서의 구성 요구 사항 섹션을 참조하십시오.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
Cisco ASA 버전 8.x
Cisco ASDM 버전 6.x
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
이 문서에 제시된 사용자 지정 단계에 대비하여 ASA를 구성해야 합니다.
다음 단계를 완료하십시오.
ASDM에서 그룹 정책을 생성하려면 Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Clientless SSL VPN Access(클라이언트리스 SSL VPN 액세스) > Group Policies(그룹 정책)를 선택하고, 예를 들어 Marketing(마케팅) 터널링 프로토콜 아래의 Clientless SSL VPN() 확인란을 선택합니다.
그림 1:새 그룹 정책 생성(마케팅)
Configuration(컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Clientless SSL VPN(클라이언트리스 SSL VPN) > Connection Profiles(연결 프로파일)를 선택하여 필요한 인증 서버 세부사항, 예를 들어 AAA 서버와 같은 연결 프로파일을 생성하고 마케팅 그룹 정책을 할당합니다.
그림 2:새 연결 프로파일 생성(sslclient)
연결 프로파일 컨피그레이션을 계속하려면 Advanced(고급)를 클릭하고 연결 프로파일에 대한 그룹 URL을 구성합니다.
그림 3:연결 프로파일에 대한 그룹 URL 구성
참고: 이 예에서 group-url은 세 가지 서로 다른 형식으로 구성됩니다.사용자는 sslclient 연결 프로파일을 통해 ASA에 연결하기 위해 둘 중 하나를 입력할 수 있습니다.
Configuration(컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Clientless SSL VPN Access(클라이언트리스 SSL VPN 액세스) > Portal(포털) > Customization(사용자 맞춤화)을 선택하고 다음 두 사용자 지정 개체를 추가합니다.
사용자 지정 로그인
맞춤형 마케팅
참고: 그림 4는 Custom_Login 객체를 생성하는 방법을 보여줍니다.Custom_Marketing 사용자 지정 객체를 추가하려면 동일한 단계를 반복합니다.그러나 지금은 이러한 사용자 지정 개체를 편집하지 마십시오.이 문서의 후속 섹션에서 다양한 구성 옵션에 대해 설명합니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
일반적인 클라이언트리스 시나리오에서 원격 사용자는 로그온하기 위해 ASA의 FQDN을 브라우저에 입력합니다.여기에서 로그인 페이지 또는 시작 화면이 나타납니다.인증이 성공하면 사용자는 모든 인증된 애플리케이션으로 웹 포털을 봅니다.
8.0 이전 버전에서는 웹 포털이 제한된 사용자 지정을 지원하므로 모든 ASA 사용자가 동일한 웹 페이지를 경험하게 됩니다.제한된 그래픽의 이러한 웹 페이지는 일반적인 인트라넷 페이지와 매우 다릅니다.
ASA는 "로그인" 기능을 기존 웹 페이지와 통합할 수 있는 완전한 사용자 지정 기능을 도입했습니다.또한 웹 포털의 사용자 지정 기능이 크게 향상되었습니다.이 문서의 예제를 통해 기존 인트라넷 페이지와 유사한 모양과 느낌을 갖도록 ASA 페이지를 사용자 정의할 수 있습니다. ASA 페이지를 탐색할 때 더 일관된 사용자 환경을 제공합니다.
다양한 사용자 지정 옵션은 사용자 환경 중에 가상화를 제공할 수 있는 ASA의 기능을 강화합니다.예를 들어 마케팅 그룹에는 세일즈 또는 엔지니어링 그룹에 표시되는 페이지와 전혀 다른 모양과 느낌을 가진 로그인 페이지 및 웹 포털이 표시될 수 있습니다.
ASA는 사용자 지정 가능한 두 가지 유형의 WebVPN 페이지를 지원합니다.
사용자가 ASA에 연결하기 위해 브라우저에 https://asa.cisco.com/sslclient group-url을 입력하면 다음 기본 로그인 페이지가 나타납니다.
그림 5:기본 로그인 페이지
이 로그인 페이지를 수정하려면 연결 프로파일과 연결된 사용자 지정을 편집합니다.이 사용자 지정을 수정하는 데 필요한 단계는 이 문서의 Customize Login Page 섹션에 나타납니다.지금부터 다음 단계를 완료합니다.
Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Clientless SSL VPN Access(클라이언트리스 SSL VPN 액세스) > Connection Profiles(연결 프로파일)를 선택합니다.
sslclient 연결 프로파일을 편집하고 Custom_Login 사용자 지정을 이 연결 프로파일과 연결합니다.
사용자가 인증되면 이 기본1 웹 포털 페이지가 나타납니다.
그림 7:기본 포털 페이지
1. 모든 플러그인(VNC, ICA, SSH 및 RDP)이 활성화된 것으로 가정합니다.플러그인이 활성화되어 있지 않으면 해당 탭이 표시되지 않습니다.
이 웹 포털을 수정하려면 그룹 정책과 연결된 사용자 지정을 수정합니다.이 사용자 지정을 수정하는 데 필요한 단계는 이 문서의 웹 포털 사용자 지정에 나타납니다.지금부터 다음 단계를 완료합니다.
Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Clientless SSL VPN Access(클라이언트리스 SSL VPN 액세스) > Group Policies(그룹 정책)를 선택합니다.
마케팅 그룹 정책을 수정하고 Custom_Marketing 사용자 지정을 이 그룹 정책과 연결합니다.
참고: 각각 RADIUS, LDAP 또는 인증서와 같은 자체 인증 체계를 가진 여러 연결 프로파일을 단일 그룹 정책과 연결할 수 있습니다.따라서 여러 로그인 페이지를 생성할 수 있습니다. 예를 들어 각 연결 프로파일에 대해 하나의 로그인 사용자 지정을 생성할 수 있으며, 이러한 모든 페이지는 마케팅 그룹 정책과 연결된 동일한 웹 포털 사용자 지정과 연결될 수 있습니다.
다음은 샘플 사용자 지정 웹 포털입니다.
그림 9:맞춤형 웹 포털 페이지
페이지에 그라데이션 색 구성표가 있는 제목, 마케팅용 로고, 축소판이 있는 웹 책갈피 몇 개, RSS 피드 및 사용자 지정 인트라넷 페이지가 있습니다.사용자 지정 인트라넷 페이지에서는 최종 사용자가 인트라넷 페이지를 탐색하고 웹 포털의 다른 탭을 동시에 사용할 수 있습니다.
참고: 웹 페이지 레이아웃을 상단 및 왼쪽 프레임으로 유지해야 합니다. 즉, 이 페이지는 완전히 사용자 지정할 수 없습니다.인트라넷 포털에서 최대한 가까운 모양을 만들기 위해 많은 작은 구성 요소를 변경할 수 있습니다.
이 섹션에서는 ASDM에서 사용자 지정 편집기를 사용하여 웹 포털의 각 개별 구성 요소를 구성하는 방법에 대해 설명합니다.
제목 패널을 구성하려면 다음 사용자 지정 옵션을 활성화합니다.
그림 11:사용자 지정 편집기:제목 패널 구성
제목 패널에서 로고를 사용자 지정하려면 ASA에 로고 이미지를 업로드합니다.
그림 12:ASA에 로고 파일 marketing.gif를 웹 콘텐츠로 업로드
Clientless SSL VPN Access(클라이언트리스 SSL VPN 액세스) > Portal(포털) > Web Contents(웹 콘텐츠)를 선택하고 Import(가져오기)를 클릭한 다음 로컬 컴퓨터의 로고 파일 경로를 제공합니다./+CSCOU+/ 디렉터리에서 웹 콘텐츠로 업로드합니다.
텍스트로 ASA VPN 마케팅을 입력합니다.
글꼴 색상과 배경색을 선택하려면... 단추를 클릭합니다.
매력적인 점진적 색상 패턴을 만들려면 [그라디언트] 옵션을 활성화합니다.
이 주소/도구 모음을 구성하려면 다음 사용자 지정 옵션을 편집합니다.
그림 14:사용자 지정 편집기:도구 모음 구성
참고: 기본적으로 도구 모음이 활성화되어 있습니다.이 예에서는 프롬프트 상자 제목, 찾아보기 단추 텍스트, 로그아웃 프롬프트 등의 나머지 필드의 이름이 다음과 같이 바뀝니다.
책갈피 옆에 축소판을 추가하려면 다음 단계를 완료하십시오.
필요한 이미지를 /+CSCOU+/ 디렉토리에 업로드합니다.
그림 16:책갈피와 연결할 축소판 이미지 업로드
축소판 이미지를 ASA 책갈피와 연결합니다.
Portal(포털) > Bookmarks(책갈피)를 선택합니다.
Add(추가)를 클릭합니다.Bookmark List Name(책갈피 목록 이름)에 Applications(애플리케이션)를 입력합니다.
Add(추가)를 클릭합니다.책갈피 제목에 ASA 마케팅을 입력합니다.
URL 값으로 http://cisco.com/go/asa를 입력하고 Advanced Options(고급 옵션)를 선택합니다.
Manage(관리)를 클릭합니다.이전에 업로드한 /+CSCOU+/5550-1.gif 축소판을 선택하고 확인을 클릭합니다.
그림 17:축소판을 책갈피와 연결
책갈피를 ASA 그룹 정책과 연결합니다.
사용자 지정 RSS 피드를 표시하려면 다음 사용자 지정 요소를 편집합니다.
그림 20:사용자 지정 창:RSS 피드 구성
참고: Cisco Security Advisory용 RSS 피드:http://newsroom.cisco.com/data/syndication/rss2/SecurityAdvisories_20.xml
이 사용자 지정 인트라넷 웹 페이지를 구성하려면 다음 사용자 지정 요소를 편집합니다.
그림 22:사용자 지정 편집기:사용자 지정 창 구성
참고: Cisco CCO 페이지의 URL:http://cisco.com/en/US/netsol
애플리케이션 탭 이름을 구성하려면 다음 사용자 지정 요소를 편집합니다.
그림 24:애플리케이션 탭 이름 사용자 정의
참고: 애플리케이션을 선택적으로 활성화하고 Up 및 Down 링크로 다시 정렬합니다.
예제 아이콘과 같이 응용 프로그램 이름 옆에 즐겨찾기 축소판 그림을 추가하려면 다음 단계를 수행합니다.
포털 페이지에서 기본 축소판 이미지를 마우스 오른쪽 버튼으로 클릭하여 이름과 위치를 찾습니다.
홈 탭의 경우 축소판 이미지 위치는 /+CSCOU+/nv-home.gif입니다.
웹 응용 프로그램 탭의 축소판 위치는 /+CSCOU+/nv-web-access.gif입니다.
1단계에서 캡처한 이름을 사용하여 원하는 이미지를 웹 콘텐츠로 ASA에 가져옵니다.
예를 들어, disney.gif를 웹 응용 프로그램 탭과 연결하려면 nv-web-access.gif로 가져옵니다.
그림 26:애플리케이션 탭의 축소판 가져오기
기본적으로 Cisco는 애플리케이션 사용을 위한 도움말 파일을 제공합니다.이러한 페이지는 사용자 지정 HTML 페이지로 바꿀 수 있습니다.예를 들어 그림 27에서 도움말 페이지에 사용자 지정 그림을 추가할 수 있습니다.
그림 27:사용자 지정 도움말 페이지
도움말 파일을 사용자 지정하려면 다음 단계를 완료하십시오.
Portal(포털) > Help Customization(도움말 사용자 지정)을 선택하고 Import(가져오기)를 클릭합니다.
언어를 선택합니다.
.inc 파일을 선택합니다.예를 들어 웹 응용 프로그램 액세스 탭에 해당하는 도움말 페이지를 편집하려면 web-access-hlp.inc 파일을 선택합니다.
사용자 지정 HTML 파일을 선택합니다.
그림 28:응용 프로그램 액세스를 위한 사용자 지정 도움말 파일 가져오기
이때 ASA에 로그온합니다(https://asa.cisco.com/sslclient).인증에 성공하면 사용자 지정 웹 포털이 나타납니다.
기본 로그인 페이지입니다.
그림 29:기본 로그인 페이지
완전히 사용자 정의된 로그인 페이지입니다.
그림 30:완전히 사용자 지정된 로그인 페이지
새 로그인 페이지에는 사용자 정의된 로고, 제목, 이미지가 로그인/비밀번호 대화 상자와 함께 포함됩니다.로그인 페이지는 완전히 사용자 정의할 수 있으므로 HTML 페이지를 만들고 원하는 위치에 로그인/암호 대화 상자를 삽입할 수 있습니다.
참고: 전체 로그인 페이지를 사용자 지정할 수 있지만 ASA가 최종 사용자에게 로드하는 특정 로그인/비밀번호 대화 상자는 완전히 사용자 지정할 수 없습니다.
전체 사용자 지정을 통해 자신의 로그인 화면에 HTML을 제공한 다음, 로그인 양식과 언어 선택기 드롭다운 목록을 생성하는 보안 어플라이언스에서 기능을 호출하는 Cisco HTML 코드를 삽입할 수 있습니다.
이 문서의 다음 섹션에서는 HTML 코드에 필요한 수정 사항과 새 코드를 사용하도록 보안 어플라이언스를 구성하는 데 필요한 작업에 대해 설명합니다.
이 HTML은 Microsoft FrontPage 편집기에서 가져왔습니다.제목, 사용자 지정 로고, 이미지 및 바닥글을 포함합니다.
참고: 이미지 5550.gif 및 asa.gif는 login_files 디렉토리에 저장됩니다.빈 공간은 의도적이며, 이후 단계에서 로그인/비밀번호 대화 상자로 바뀝니다.
이 시점에서 페이지는 그림 31과 같습니다. 앞으로 대화 상자를 삽입할 수 있도록 빈 공간이 포함되는 방법을 확인하십시오.
그림 31:초기 웹 페이지
모든 이미지의 경우 경로를 ASA의 내부 디렉토리인 /+CSCOU+/ 키워드로 바꿉니다.ASA에 이미지를 업로드할 때 이미지는 ASA 파일 시스템의 /+CSCOU+/내부 디렉토리에 저장됩니다.나중에 ASA에서 이 수정된 HTML을 로드하면 이미지 파일이 올바르게 로드됩니다.
그림 32:수정된 HTML 코드
참고: 첫 번째 링크에서 login_files/5550.gif은 /+CSCOU+/5550.gif으로 바뀝니다.
다음 단계는 이 login.html 파일의 이름을 login.inc로 바꾸는 것입니다.
ASA가 이 파일을 특수 파일 유형으로 인식하고 로그인/비밀번호 대화 상자를 지원하는 데 필요한 Java 스크립트를 포함하도록 .inc 확장명이 필요합니다.
이 HTML 코드는 로그인/암호 대화 상자를 표시할 위치에 추가해야 합니다.
<body onload="csco_ShowLoginForm('lform'); csco_ShowLanguageSelector('selector')" bgcolor="white"> <table> <tr><td colspan=3 height=20 align=right> <div id="selector" style="width: 300px"></div> </td></tr> <tr> <td align=middle valign=middle>Loading... </div> </td> </tr> </table>
참고: 처음 두 함수는 csco_ShowLoginForm(lform) 및 csco_ShowLanguageSelector(selector)는 .inc 파일을 렌더링할 때 ASA에서 정의를 가져오는 두 개의 java 스크립트 함수입니다.이 코드에서는 언어 선택기와 함께 로그인/비밀번호 대화 상자를 표시하기 위해 함수를 호출하기만 하면 됩니다.
참고: 대화 상자는 테이블 요소로 표시됩니다.다른 이미지나 텍스트 주위에 배치하거나 HTML 페이지에 맞게 정렬될 수 있습니다.
이 시나리오에서는 가운데에 있는 asa.gif 이미지 위에 login/password 대화 상자가 나타납니다.코드를 삽입하면 최종 HTML 페이지는 다음과 같습니다.
다음 단계는 최종 login.inc 파일과 이미지 파일을 웹 콘텐츠로 ASA에 업로드하는 것입니다./+CSCOU+/디렉토리에 파일을 저장하려면 아래쪽 옵션을 선택해야 합니다.
그림 33:이미지 파일을 웹 콘텐츠로 ASA에 가져오기
마지막으로 사용자 지정 편집기에서 전체 사용자 지정 탭을 선택하고 업로드한 login.inc 파일에 대한 링크를 제공합니다.최종 사용자가 이 사용자 지정(예: sslclient)과 연결된 연결 프로파일에서 연결할 경우, 사용자는 완전히 사용자 정의된 로그인 페이지를 볼 수 있습니다.
그림 34:login.inc를 전체 사용자 지정을 위한 파일로 연결
https://asa.cisco.com/sslclient을 통해 ASA에 연결하면 완전히 사용자 정의된 로그인 페이지가 나타납니다.
그림 35:최종 사용자 정의 로그인 페이지
설명된 대로 모든 사용자 지정은 ASDM을 사용하여 편집됩니다.그러나 이러한 CLI 명령을 사용하여 사용자 지정 및 기타 WebVPN 콘텐츠를 삭제할 수 있습니다.
webvpn 되돌리기:
all Revert all webvpn related data customization Revert customization file plug-in Revert plug-in options translation-table Revert translation table url-list Revert a list of URLs for use with WebVPN webcontent Revert webcontent
예를 들면 다음과 같습니다.
사용자 지정을 삭제하려면 revert webvpn customization Custom_Marketing CLI 명령을 실행합니다.
로고 파일을 삭제하려면 revert webvpn webcontent /+CSCOU+/marketing.gif 명령을 실행합니다.
책갈피를 삭제하려면 revert webvpn url-list Marketing_URL_List 명령을 실행합니다.
사용자 지정, 웹 콘텐츠, 플러그인 및 북마크를 모두 삭제하려면 revert webvpn all 명령을 실행합니다.
참고: WebVPN 사용자 지정은 실행 중인 컨피그레이션에 저장되지 않으므로 일반적인 쓰기 지우기, 다시 로드 시퀀스는 ASA에서 사용자 지정이나 웹 콘텐츠를 지우지 않습니다.revert webvpn 명령을 명시적으로 실행하거나 ASDM에서 사용자 지정을 수동으로 삭제해야 합니다.
다른 CLI 명령과 달리 사용자 지정은 실행 중인 컨피그레이션에 저장되지 않습니다.대신 사용자 지정을 명시적으로 내보내면 해당 사용자 지정이 호스트 컴퓨터에 XML 형식으로 저장됩니다.
그림 36:백업 또는 다른 ASA로 복제하도록 사용자 지정 내보내기
사용자 정의를 복원하려면 이전 단계에서 가져온 XML 파일과 함께 사용자 정의를 가져옵니다.
그림 37:이전에 내보낸 XML 파일에서 사용자 지정 가져오기
참고: 사용자 지정을 내보내기/가져오는 것 외에도 이미지 파일, 도움말 파일 및 축소판 이미지가 포함된 웹 콘텐츠를 직접 백업/복원해야 합니다.그렇지 않으면 사용자 지정이 제대로 작동하지 않습니다.
ASA 버전 8.0에 도입된 고급 사용자 지정 기능을 통해 매력적인 웹 포털 페이지를 개발할 수 있습니다.각기 다른 그룹에 대해 서로 다른 맞춤형 웹 포털을 생성하여 가상화를 구현할 수 있습니다.또한 로그인 페이지는 일관된 사용자 환경을 제공하는 일반 인트라넷 웹 포털과 일치하도록 완전히 사용자 지정할 수 있습니다.
WebVPN 사용자 지정을 활성화한 후 다음 오류 메시지가 표시될 수 있습니다.
%ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/ja/LC_MESSAGES/PortForwarder.po' to a temporary ramfs file failed %ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/ja/LC_MESSAGES/webvpn.po' to a temporary ramfs file failed %ERROR: csco_config.lua:36: csco_config.lua:552: copying 'disk0:/csco_config/locale/fr/LC_MESSAGES/customization.po' to a temporary ramfs file failed.
이 문제를 해결하려면 revert webvpn all 명령을 실행하고 ASA를 다시 로드합니다.