通过AAA服务器使用XML文件为远程接入SSL ***认证授权
實驗?zāi)康?#xff1a;
通過下放XML,限制不客戶端SSL ***能訪問的服務(wù)器。
實驗拓?fù)?#xff1a;
ASA配置:
interface GigabitEthernet0
?nameif inside
?security-level 100
?ip address 192.168.10.254 255.255.255.0
!
interface GigabitEthernet1
?nameif outside
?security-level 0
?ip address 192.168.20.254 255.255.255.0
!
aaa-server aaa protocol radius
aaa-server aaa (inside) host 192.168.10.1
?key?cisco??
web***
?enable outside
?anyconnect image disk0:/anyconnect-win-3.0.0629-k9.pkg 1
?anyconnect enable
?tunnel-group-list enable
group-policy ssl***-group-policy internal
group-policy ssl***-group-policy attributes
?web***
? anyconnect ask enable default web***
?tunnel-group ssl***-group type remote-access
tunnel-group ssl***-group general-attributes
?authentication-server-group aaa
?default-group-policy ssl***-group-policy
tunnel-group ssl***-group web***-attributes
?group-alias groups enable
配置AAA client 和AAA服務(wù)器,添加用戶root,加入group,在此不在說明,可以參考網(wǎng)上的文章,或者查看我的有關(guān)文章。
分析:
1 登陸
從上面可以看出這樣做給公司內(nèi)部網(wǎng)絡(luò)帶來安全隱患,通過關(guān)閉SSL ***頁面的地址欄輸入,可以解決這個問題。
Conf t
group-policy ssl***-group-policy attributes
web***
url-entry disable
file-entry disable
file-browsing disable
下面通過,在ASA上定義一個URL列表,只允許PC訪問這個LIST-URL。
編輯一個list.xml文件
由于條件問題,兩個服務(wù)器IP配置成了相同。
驗證文件的正確性。
一定要能顯示,不提手錯誤。
上傳文件
命令方式,應(yīng)用URL列表。在此只給出命令不做驗證
Conf t
group-policy ssl***-group-policy attributes
web***
url-list value list
下面重點介紹AAA 配置:
?
查看效果:
?
?
總結(jié)
以上是生活随笔為你收集整理的通过AAA服务器使用XML文件为远程接入SSL ***认证授权的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: jquery mobile开发笔记之Aj
- 下一篇: 读取 XML 数据时,超出最大字符串内容