Serviços de rede de aplicativos : Mecanismos de conteúdo Cisco 500 Series

Configurando a autenticação LDAP com Cisco Cache Engine 2.5.1 e mais atrasado

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (21 Abril 2016) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para um Cisco Cache Engine. A configuração permite o motor do esconderijo de executar uma pesquisa na base de dados padrão do Lightweight Directory Access Protocol (LDAP) para permitir ou restringir o acesso de usuário aos recursos da Web. Para obter mais informações sobre de alguma característica que este as revisões de documento, considerarem a seção da “informação relacionada”.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Motor do esconderijo do Cisco 500 Series que executa o Cisco Cache Software Release 2.5.1 ou mais atrasado

  • Server do diretório do netscape (LDAP) e server de OpenLDAP

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Informações de Apoio

O LDAP foi inventado para preservar as melhores qualidades que as ofertas X.500 mas reduzem os custos administrativos. O LDAP fornece um Directory Access Protocol aberto que execute sobre o TCP/IP. O LDAP retém o modelo de dados X.500. O protocolo é escalável a um tamanho global e a milhões de entradas para um investimento modesto no hardware e na infraestrutura de rede. O resultado é uma solução do diretório global que seja tão disponível que as organizações pequenas podem a usar, mas igualmente pode ser escalada para apoiar o maior do ½ do ¿  das empresas. ïÂ

Um motor LDAP-permitido do esconderijo/Content Engine (CE) autentica usuários com um servidor ldap. Com uma pergunta HTTP, o CE obtém um grupo de credenciais do usuário, que inclui o usuário - identificação e senha. O CE compara então as credenciais às credenciais em um servidor ldap. Quando o CE autentica um usuário através do servidor ldap, o CE armazena um registro dessa autenticação localmente no CE RAM, dentro do esconderijo da autenticação. Enquanto o CE mantém a entrada de autenticação, as tentativas subsequentes por esse usuário de alcançar conteúdo de Internet restrito não exigem consultas do servidor ldap. O período de retenção do tempo padrão da entrada de autenticação é 480 minutos. O mínimo é 30 minutos, e o máximo é 1440 minutos, ou 24 horas. Este intervalo é o tempo entre o último acesso ao Internet pelo usuário e a remoção da entrada de usuário do esconderijo da autorização. A remoção força o reauthentication com o servidor ldap.

A autenticação LDAP dos apoios de motor do esconderijo para o modo de proxy e transparente, ou Protocolo de Comunicação de Cache da Web (WCCP), acesso de modo. No modo de proxy, o CE usa o usuário cliente - identificação como uma chave para a base de dados de autenticação. Quando no modo transparente, o CE usar o endereço IP cliente como uma chave para a base de dados de autenticação. O CE usa-se simples, autenticação não criptografada para comunicar-se com o servidor ldap.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Para localizar informações adicionais sobre os comandos usados neste documento, utilize a Ferramenta Command Lookup (somente clientes registrados).

Configuração

Este documento utiliza esta configuração:

Cisco Cache Engine 550 (Cisco Cache Software Release 2.5.1)
hostname dioxin
!
interface ethernet 0
�ip address 172.17.241.49 255.255.255.0
�ip broadcast-address 172.17.241.255
�bandwidth 10
�halfduplex
�exit
!
interface ethernet 1
�exit
!
ip default-gateway 172.17.241.1
ip name-server 144.254.6.77
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 172.17.241.1
cron file /local/etc/crontab
lock timezone CET -7 0
!
no bypass load enable
http proxy incoming 8080
wccp router-list 1 172.17.241.214
wccp port-list 1 80 8080
wccp web-cache router-list-num 1
wccp version 2
no wccp slow-start enable
!
authentication login local enable
authentication configuration local enable


!--- Specify the LDAP server IP address and TCP port number.

ldap server host 172.17.241.217 port 389

!--- This is the base Distinguished Name (DN) of the start point 
!--- for the search in the LDAP database.
�
ldap server base dc=cisco, dc=com�

!--- This is the DN of the admin user.
�
ldap server administrative-dn uid=admin, ou=special users, dc=cisco, dc=com�

!--- This is the password for the admin user.
�
ldap server administrative-passwd ****�
proxy-protocols transparent original-proxy
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
!
!
end

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos para Troubleshooting

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

Nota: Antes de emitir comandos de depuração, consulte as informações importantes sobre eles.

debug https header trace

Este é o pedido da obtenção que vem do cliente.

dioxin# 

!--- These are the HTTP request headers that come from the client.

GET http://missile.cisco.com/ HTTP/1.0
If-Modified-Since: Wed, 01 Mar 2000 18:37:44 GMT; length=2511
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Pragma: no-cache
Host: missile.cisco.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Proxy-authorization: Basic YW1pa3VzOnd3

Este é o pedido que é enviado ao servidor de origem após a autenticação do usuário.

Http request headers sent to server:
GET / HTTP/1.0
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Pragma: no-cache
Host: missile.cisco.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
If-Modified-Since: Wed, 01 Mar 2000 18:37:44 GMT; length=2511
Connection: keep-alive
Via: 1.0 dioxin
X-Forwarded-For: 172.17.241.216

!--- This is the response that is received from the origin server.

Http response headers received from server:
HTTP/1.1 304 Not Modified
Date: Mon, 03 Sep 2001 17:55:22 GMT
Server: Apache/1.3.12 (Unix)� (Red Hat/Linux) PHP/3.0.15 mod_perl/1.21
Connection: Keep-Alive
Keep-Alive: timeout=15, max=100
ETag: "66-9cf-38bd6378"

Esta é a resposta que é enviada ao cliente que faz o pedido:

Http response headers sent to client:
HTTP/1.1 304 Not Modified
Date: Mon, 03 Sep 2001 17:55:22 GMT
Server: Apache/1.3.12 (Unix)� (Red Hat/Linux) PHP/3.0.15 mod_perl/1.21
Keep-Alive: timeout=15, max=100
ETag: "66-9cf-38bd6378"
Proxy-Connection: keep-alive

debug ldap authcache all

Este é debugar que mostra ao primeiro pacote de requisição essa autenticação LDAP dos disparadores.

dioxin#ACDaemon: running; 95% = 3800 85% = 3400
ACDaemon: Comparing 1904 > 28800
ACDaemon: freed 0 entries
ACEntry: Proxy Mode; nType=1

!--- The CE sends an authentication-required header to the client.

ACEntry: sending 407 to user - reason 104 
ACEntry: Proxy Mode, no REQ_FLAGS_PROXY_AUTH flag
ACEntry: Proxy Mode; nType=1

!--- The authentication is successful and there is
!--- an addition of the entry to the authentication cache.

ACEntry: added entry at key 1044 
ACEntry: Proxy Mode; nType=1

!--- Subsequent requests from the same client go through
!--- in the way that the CE has them in the authentication cache.

ACEntry: AuthCache Hit!!� 
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!

debug ldap server connect

Este traço mostra a comunicação CE com o servidor ldap:

attempt to connect host at later time-serv=1,thread=0
attempt to connect host at later time-serv=1,thread=1
attempt to connect host at later time-serv=1,thread=2
attempt to connect host at later time-serv=1,thread=3
attempt to connect host at later time-serv=1,thread=4
ldap_open_server_on_timer--thread=4e8ac0,magic=dededada,server=1,thread_ind=0
ldap_open_server_on_timer--thread=4e8b20,magic=dededada,server=1,thread_ind=1
ldap_open_server_on_timer--thread=4e8b80,magic=dededada,server=1,thread_ind=2
ldap_open_server_on_timer--thread=4e8be0,magic=dededada,server=1,thread_ind=3
ldap_open_server_on_timer--thread=4e8c40,magic=dededada,server=1,thread_ind=4
ldap_open_server -server/thread = 1 / 0
ldap_open_server --thread=4e8ac0,magic=dededada,server=1,thread_ind=0
ldap found already initialized ld aa55a00
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 1
ldap_open_server --thread=4e8b20,magic=dededada,server=1,thread_ind=1
ldap found already initialized ld aa55600
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 2
ldap_open_server --thread=4e8b80,magic=dededada,server=1,thread_ind=2
ldap found already initialized ld ff9e800
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 3
ldap_open_server --thread=4e8be0,magic=dededada,server=1,thread_ind=3
ldap found already initialized ld aa55e00
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 4
ldap_open_server --thread=4e8c40,magic=dededada,server=1,thread_ind=4
ldap found already initialized ld aa55400
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1

debug ldap server trace

cfg_ldap_serv_host_cmd(): Begin
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
sd 672 connected to: 172.17.241.217
sd 673 connected to: 172.17.241.217
sd 674 connected to: 172.17.241.217
sd 675 connected to: 172.17.241.217
sd 676 connected to: 172.17.241.217

debug ldap server request / receive

Este é um traço da amostra de um bem sucedido debuga o pedido do servidor ldap/recebe a busca:

ldap_ce_search_wrap - begin
ldap_ce_search_wrap - result 0 for uid smarsill
ldap_ce_search - uid = smarsill, time = 999512222
ldap_user_auth - uid = smarsill
Ldap Mgmt Auth Bind
ldap Admin dn=4e85cd
ldap_user_auth - mgmt bind result = 0
Ldap Bind - user smarsill
Search result = 0, ffa1f80
ldap_first_entry = ffa1f80
ldap dn=uid=smarsill,ou=tac-bru,dc=cisco,dc=com
Ldap Bind Success
ldap_ce_search - authentication succeeded - uid = smarsill, time=999512222

show ldap server

dioxin# show ldap server
show_ldap_serv_cmd(): Begin
LDAP Configuration:
------------------
LDAP Authentication is on
��� Timeout���������������� = 5 seconds
��� AuthTimeout������������ = 480 minutes
��� Retransmit������������� = 3�
��� UserID-Attribute������� = uid�
��� Filter����������������� =��
��� Base DN���������������� = "dc=cisco, dc=com"
��� Administrative DN������ = "uid=admin, ou=special users, dc=cisco, dc=com"
��� Administrative Password = ****�
��� AllowMode�������������� = DISABLED�
��� ----------------------
��� Servers
��� -------
����
show_ldap_serv_cmd(): End
��� IP 172.17.241.217, Port = 389, State: ENABLED

show ldap authcache

dioxin# show ldap authcache

����� AuthCache 
===================== 
hash� 1700 : uid: amikus nBkt: 0x0 nLRU: 0x0 pLRU: 0xb889c00 
������������ lacc: 999508731 ipAddr: d8f111ac keyTp: 1 
hash� 1961 : uid: smarsill nBkt: 0x0 nLRU: 0xb889bc0 pLRU: 0x0 
������������ lacc: 999508484 ipAddr: c003fe90 keyTp: 1

Informações Relacionadas


Document ID: 4713