Cisco ASA имеет функцию, при которой заблокированный HTTP-запрос может быть перенаправлен на веб-страницу, размещенную на самом ASA, чтобы позволить веб-пользователю аутентифицироваться на ASA и разблокировать запрос. Это настроено с помощью aaa authentication listener http <interface> redirect
команда задокументирована в Настройка AAA для доступа к сети.
Страница, на которую перенаправляется пользователь, является общей и уродливой. Есть ли способ заставить эту страницу выглядеть иначе? Вещи, которые я могу себе представить, включают в себя шаблон на ASA, который можно изменить, способ встраивания этой страницы в другую веб-страницу или какую-то вставку CSS. Однако я открыт для всего.
В качестве альтернативы, если кто-то знает более настраиваемый способ достижения той же цели - блокировать сетевой доступ к веб-странице до аутентификации, я был бы рад рассмотреть и это.
Насколько я знаю, это невозможно на ASA, но чего стоит это на IOS.
Если ваши пользователи находятся в Active Directory, вы можете рассмотреть возможность использования Identity Firewall вместо этого (и при желании по-прежнему использовать сквозную прокси-аутентификацию для пользователей, не относящихся к AD). В этом случае вы указываете в своем ACL, какие пользователи могут получить доступ к каким ресурсам, например
access-list identity-list1 permit ip user SAMPLE\user1 any any
Таким образом, когда пользователь user1 входит в систему на своем ПК, у нее будет прозрачный доступ ко всему без необходимости повторной аутентификации в ASA.