通过AAA服务器使用XML文件为远程接入SSL ***认证授权

实验目的:

通过下放XML,限制不客户端SSL ***能访问的服务器。

实验拓扑:

ASA配置:

interface GigabitEthernet0
 nameif inside
 security-level 100
 ip address 192.168.10.254 255.255.255.0
!
interface GigabitEthernet1
 nameif outside
 security-level 0
 ip address 192.168.20.254 255.255.255.0
!
aaa-server aaa protocol radius
aaa-server aaa (inside) host 192.168.10.1
 key cisco  
web***
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.0629-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
group-policy ssl***-group-policy internal
group-policy ssl***-group-policy attributes
 web***
  anyconnect ask enable default web***
 tunnel-group ssl***-group type remote-access
tunnel-group ssl***-group general-attributes
 authentication-server-group aaa
 default-group-policy ssl***-group-policy
tunnel-group ssl***-group web***-attributes
 group-alias groups enable

配置AAA client 和AAA服务器,添加用户root,加入group,在此不在说明,可以参考网上的文章,或者查看我的有关文章。

分析:

1 登陆

从上面可以看出这样做给公司内部网络带来安全隐患,通过关闭SSL ***页面的地址栏输入,可以解决这个问题。

Conf t
group-policy ssl***-group-policy attributes
web***
url-entry disable
file-entry disable
file-browsing disable

下面通过,在ASA上定义一个URL列表,只允许PC访问这个LIST-URL。

编辑一个list.xml文件

由于条件问题,两个服务器IP配置成了相同。

验证文件的正确性。

一定要能显示,不提手错误。

上传文件

命令方式,应用URL列表。在此只给出命令不做验证

Conf t
group-policy ssl***-group-policy attributes
web***
url-list value list

下面重点介绍AAA 配置:

 

查看效果:

 

 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值