實(shí)驗(yàn)?zāi)康?#xff1a;

通過下放XML,限制不客戶端SSL ***能訪問的服務(wù)器。

實(shí)驗(yàn)拓?fù)?#xff1a;

ASA配置：

interface GigabitEthernet0
?nameif inside
?security-level 100
?ip address 192.168.10.254 255.255.255.0
!
interface GigabitEthernet1
?nameif outside
?security-level 0
?ip address 192.168.20.254 255.255.255.0
!
aaa-server aaa protocol radius
aaa-server aaa (inside) host 192.168.10.1
?key?cisco??
web***
?enable outside
?anyconnect image disk0:/anyconnect-win-3.0.0629-k9.pkg 1
?anyconnect enable
?tunnel-group-list enable
group-policy ssl***-group-policy internal
group-policy ssl***-group-policy attributes
?web***
? anyconnect ask enable default web***
?tunnel-group ssl***-group type remote-access
tunnel-group ssl***-group general-attributes
?authentication-server-group aaa
?default-group-policy ssl***-group-policy
tunnel-group ssl***-group web***-attributes
?group-alias groups enable

配置AAA client 和AAA服務(wù)器，添加用戶root，加入group，在此不在說明，可以參考網(wǎng)上的文章，或者查看我的有關(guān)文章。

分析：

1 登陸

從上面可以看出這樣做給公司內(nèi)部網(wǎng)絡(luò)帶來安全隱患，通過關(guān)閉SSL ***頁面的地址欄輸入，可以解決這個(gè)問題。

Conf t
group-policy ssl***-group-policy attributes
web***
url-entry disable
file-entry disable
file-browsing disable

下面通過，在ASA上定義一個(gè)URL列表，只允許PC訪問這個(gè)LIST-URL。

編輯一個(gè)list.xml文件

由于條件問題，兩個(gè)服務(wù)器IP配置成了相同。

驗(yàn)證文件的正確性。

一定要能顯示，不提手錯(cuò)誤。

上傳文件

命令方式，應(yīng)用URL列表。在此只給出命令不做驗(yàn)證

Conf t
group-policy ssl***-group-policy attributes
web***
url-list value list

下面重點(diǎn)介紹AAA 配置：

?

查看效果：

?

?

總結(jié)

以上是生活随笔為你收集整理的通过AAA服务器使用XML文件为远程接入SSL ***认证授权的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。