通过AAA服务器使用XML文件为远程接入SSL ***认证授权
实验目的:
通过下放XML,限制不客户端SSL ***能访问的服务器。
实验拓扑:
ASA配置:
interface GigabitEthernet0
nameif inside
security-level 100
ip address 192.168.10.254 255.255.255.0
!
interface GigabitEthernet1
nameif outside
security-level 0
ip address 192.168.20.254 255.255.255.0
!
aaa-server aaa protocol radius
aaa-server aaa (inside) host 192.168.10.1
key cisco
web***
enable outside
anyconnect image disk0:/anyconnect-win-3.0.0629-k9.pkg 1
anyconnect enable
tunnel-group-list enable
group-policy ssl***-group-policy internal
group-policy ssl***-group-policy attributes
web***
anyconnect ask enable default web***
tunnel-group ssl***-group type remote-access
tunnel-group ssl***-group general-attributes
authentication-server-group aaa
default-group-policy ssl***-group-policy
tunnel-group ssl***-group web***-attributes
group-alias groups enable
配置AAA client 和AAA服务器,添加用户root,加入group,在此不在说明,可以参考网上的文章,或者查看我的有关文章。
分析:
1 登陆
从上面可以看出这样做给公司内部网络带来安全隐患,通过关闭SSL ***页面的地址栏输入,可以解决这个问题。
Conf t
group-policy ssl***-group-policy attributes
web***
url-entry disable
file-entry disable
file-browsing disable
下面通过,在ASA上定义一个URL列表,只允许PC访问这个LIST-URL。
编辑一个list.xml文件
由于条件问题,两个服务器IP配置成了相同。
验证文件的正确性。
一定要能显示,不提手错误。
上传文件
命令方式,应用URL列表。在此只给出命令不做验证
Conf t
group-policy ssl***-group-policy attributes
web***
url-list value list
下面重点介绍AAA 配置:
查看效果:
总结
以上是生活随笔为你收集整理的通过AAA服务器使用XML文件为远程接入SSL ***认证授权的全部内容,希望文章能够帮你解决所遇到的问题。
- 上一篇: jquery mobile开发笔记之Aj
- 下一篇: 读取 XML 数据时,超出最大字符串内容