思科ASA具有一项function,可以将阻止的HTTP请求redirect到ASA本身托pipe的网页,以便networking用户向ASAauthentication自己,并取消阻止请求。 这是使用configurationAAA for Network Access中logging的aaa authentication listener http <interface> redirect命令configuration的 。
用户被redirect到的页面是通用的和丑陋的。 有什么办法让页面看起来不一样吗? 我可以想象的事情包括可以修改的ASA上的模板,将该页面embedded到另一个网页中的方法,或某种CSS插入。 不过,我对任何事情都是开放的。
或者,如果有人知道一个更可configuration的方式来实现在authentication之前阻止网页访问网页的相同目标,我也很乐意考虑这一点。
据我所知在ASA上这是不可能的,但是值得的是在IOS上 。
如果您的用户在Active Directory中,那么您可以考虑使用身份防火墙 (也可以select对非AD用户使用直通式代理身份validation)。 在这种情况下,您可以在ACL中指定哪些用户可以访问哪些资源,例如
access-list identity-list1 permit ip user SAMPLE\user1 any any
所以当用户1login到她的电脑时,她将透明地访问任何东西,而不需要第二次对ASA进行身份validation。