Services de mise en réseau d'applications : Moteurs de contenu Cisco de la gamme 500

Configuration de l'authentification LDAP avec Cisco Cache Engine 2.5.1 et versions ultérieures

18 juin 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (21 avril 2016) | Commentaires


Contenu


Introduction

Ce document fournit une configuration d'échantillon pour un moteur de cache de Cisco. La configuration permet au moteur de cache d'exécuter une recherche de base de données standard de Protocole LDAP (Lightweight Directory Access Protocol) pour permettre ou limiter l'accès client aux ressources web. Pour plus d'informations sur n'importe quelle caractéristique que ce document passe en revue, voyez la section « de l'information relative ».

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Moteur de cache de gamme Cisco 500 qui exécute la version de logiciel de Logiciel de cache Cisco 2.5.1 ou plus tard

  • Serveur de Netscape Directory (LDAP) et serveur d'OpenLDAP

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Le LDAP a été inventé pour préserver les meilleures qualités que les offres X.500 mais réduisent les frais d'administration. Le LDAP fournit un Directory Access Protocol ouvert qui exécute plus de le TCP/IP. Le LDAP retient le modèle de données X.500. Le protocole est extensible à une taille globale et aux millions d'entrées pour un investissement modeste en matériel et infrastructure réseau. Le résultat est une solution globale de répertoire qui est si abordable que les petits organismes puissent l'utiliser, mais elle peut également être mesurée pour prendre en charge le plus grand du ½ du ¿  des entreprises. ïÂ

Une engine LDAP-activée de moteur de cache/contenu (CE) authentifie des utilisateurs avec un serveur LDAP. Avec une requête de HTTP, le CE obtient un ensemble de qualifications de l'utilisateur, qui inclut l'user-id et le mot de passe. Le CE compare alors les qualifications aux qualifications dans un serveur LDAP. Quand le CE authentifie un utilisateur par le serveur LDAP, le CE enregistre un enregistrement de cette authentification localement dans la RAM de la CE, dans le cache d'authentification. Tant que le CE garde l'entrée d'authentification, les tentatives ultérieures par cet utilisateur d'accéder au contenu Internet restreint n'exigent pas des consultations de serveur LDAP. La période de délai par défaut pour la conservation de l'entrée d'authentification est de 480 minutes. Le minimum est de 30 minutes, et le maximum est de 1440 minutes, ou de 24 heures. Cet intervalle est le temps entre le dernier accès Internet par l'utilisateur et la suppression de l'entrée d'utilisateur du cache d'autorisation. La suppression force la réauthentification avec le serveur LDAP.

L'authentification LDAP de supports de moteur de cache pour le mode proxy et transparent, ou Web Cache Communication Protocol (WCCP), accès de mode. Dans le mode proxy, le CE utilise l'user-id de client comme clé pour la base de données d'authentification. Tandis qu'en mode transparent, le CE utilise l'adresse IP de client comme clé pour la base de données d'authentification. Le CE l'utilise authentification simple et nonencrypted pour communiquer avec le serveur LDAP.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Pour obtenir des informations supplémentaires sur les commandes utilisées dans ce document, utilisez l'Outil de recherche de commande (clients enregistrés seulement).

Configuration

Ce document utilise la configuration suivante :

Moteur de cache 550 (version de logiciel de Logiciel de cache Cisco 2.5.1) de Cisco
hostname dioxin
!
interface ethernet 0
�ip address 172.17.241.49 255.255.255.0
�ip broadcast-address 172.17.241.255
�bandwidth 10
�halfduplex
�exit
!
interface ethernet 1
�exit
!
ip default-gateway 172.17.241.1
ip name-server 144.254.6.77
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 172.17.241.1
cron file /local/etc/crontab
lock timezone CET -7 0
!
no bypass load enable
http proxy incoming 8080
wccp router-list 1 172.17.241.214
wccp port-list 1 80 8080
wccp web-cache router-list-num 1
wccp version 2
no wccp slow-start enable
!
authentication login local enable
authentication configuration local enable


!--- Specify the LDAP server IP address and TCP port number.

ldap server host 172.17.241.217 port 389

!--- This is the base Distinguished Name (DN) of the start point 
!--- for the search in the LDAP database.
�
ldap server base dc=cisco, dc=com�

!--- This is the DN of the admin user.
�
ldap server administrative-dn uid=admin, ou=special users, dc=cisco, dc=com�

!--- This is the password for the admin user.
�
ldap server administrative-passwd ****�
proxy-protocols transparent original-proxy
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
!
!
end

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Dépannage des commandes

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

Remarque: Avant d'émettre des commandes de débogage, référez-vous aux informations importantes sur des commandes de debug.

mettez au point le suivi d'en-tête de https

C'est la demande d'obtenir qui provient le client.

dioxin# 

!--- These are the HTTP request headers that come from the client.

GET http://missile.cisco.com/ HTTP/1.0
If-Modified-Since: Wed, 01 Mar 2000 18:37:44 GMT; length=2511
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Pragma: no-cache
Host: missile.cisco.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Proxy-authorization: Basic YW1pa3VzOnd3

C'est la demande qui est expédiée au serveur d'origine après authentification de l'utilisateur.

Http request headers sent to server:
GET / HTTP/1.0
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Pragma: no-cache
Host: missile.cisco.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
If-Modified-Since: Wed, 01 Mar 2000 18:37:44 GMT; length=2511
Connection: keep-alive
Via: 1.0 dioxin
X-Forwarded-For: 172.17.241.216

!--- This is the response that is received from the origin server.

Http response headers received from server:
HTTP/1.1 304 Not Modified
Date: Mon, 03 Sep 2001 17:55:22 GMT
Server: Apache/1.3.12 (Unix)� (Red Hat/Linux) PHP/3.0.15 mod_perl/1.21
Connection: Keep-Alive
Keep-Alive: timeout=15, max=100
ETag: "66-9cf-38bd6378"

C'est la réponse qui est expédiée au client qui fait la demande :

Http response headers sent to client:
HTTP/1.1 304 Not Modified
Date: Mon, 03 Sep 2001 17:55:22 GMT
Server: Apache/1.3.12 (Unix)� (Red Hat/Linux) PHP/3.0.15 mod_perl/1.21
Keep-Alive: timeout=15, max=100
ETag: "66-9cf-38bd6378"
Proxy-Connection: keep-alive

mettez au point l'authcache tout de LDAP

C'est le débogage qui affiche au premier paquet de demandes cette authentification LDAP de déclencheurs.

dioxin#ACDaemon: running; 95% = 3800 85% = 3400
ACDaemon: Comparing 1904 > 28800
ACDaemon: freed 0 entries
ACEntry: Proxy Mode; nType=1

!--- The CE sends an authentication-required header to the client.

ACEntry: sending 407 to user - reason 104 
ACEntry: Proxy Mode, no REQ_FLAGS_PROXY_AUTH flag
ACEntry: Proxy Mode; nType=1

!--- The authentication is successful and there is
!--- an addition of the entry to the authentication cache.

ACEntry: added entry at key 1044 
ACEntry: Proxy Mode; nType=1

!--- Subsequent requests from the same client go through
!--- in the way that the CE has them in the authentication cache.

ACEntry: AuthCache Hit!!� 
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!

mettez au point le serveur de LDAP se connectent

Ce suivi affiche la transmission de la CE avec le serveur LDAP :

attempt to connect host at later time-serv=1,thread=0
attempt to connect host at later time-serv=1,thread=1
attempt to connect host at later time-serv=1,thread=2
attempt to connect host at later time-serv=1,thread=3
attempt to connect host at later time-serv=1,thread=4
ldap_open_server_on_timer--thread=4e8ac0,magic=dededada,server=1,thread_ind=0
ldap_open_server_on_timer--thread=4e8b20,magic=dededada,server=1,thread_ind=1
ldap_open_server_on_timer--thread=4e8b80,magic=dededada,server=1,thread_ind=2
ldap_open_server_on_timer--thread=4e8be0,magic=dededada,server=1,thread_ind=3
ldap_open_server_on_timer--thread=4e8c40,magic=dededada,server=1,thread_ind=4
ldap_open_server -server/thread = 1 / 0
ldap_open_server --thread=4e8ac0,magic=dededada,server=1,thread_ind=0
ldap found already initialized ld aa55a00
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 1
ldap_open_server --thread=4e8b20,magic=dededada,server=1,thread_ind=1
ldap found already initialized ld aa55600
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 2
ldap_open_server --thread=4e8b80,magic=dededada,server=1,thread_ind=2
ldap found already initialized ld ff9e800
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 3
ldap_open_server --thread=4e8be0,magic=dededada,server=1,thread_ind=3
ldap found already initialized ld aa55e00
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 4
ldap_open_server --thread=4e8c40,magic=dededada,server=1,thread_ind=4
ldap found already initialized ld aa55400
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1

mettez au point le suivi de serveur de LDAP

cfg_ldap_serv_host_cmd(): Begin
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
sd 672 connected to: 172.17.241.217
sd 673 connected to: 172.17.241.217
sd 674 connected to: 172.17.241.217
sd 675 connected to: 172.17.241.217
sd 676 connected to: 172.17.241.217

mettez au point la demande de serveur de LDAP/la recevez

C'est un suivi témoin d'un réussi mettent au point la demande de serveur de LDAP/reçoivent la recherche :

ldap_ce_search_wrap - begin
ldap_ce_search_wrap - result 0 for uid smarsill
ldap_ce_search - uid = smarsill, time = 999512222
ldap_user_auth - uid = smarsill
Ldap Mgmt Auth Bind
ldap Admin dn=4e85cd
ldap_user_auth - mgmt bind result = 0
Ldap Bind - user smarsill
Search result = 0, ffa1f80
ldap_first_entry = ffa1f80
ldap dn=uid=smarsill,ou=tac-bru,dc=cisco,dc=com
Ldap Bind Success
ldap_ce_search - authentication succeeded - uid = smarsill, time=999512222

serveur de show ldap

dioxin# show ldap server
show_ldap_serv_cmd(): Begin
LDAP Configuration:
------------------
LDAP Authentication is on
��� Timeout���������������� = 5 seconds
��� AuthTimeout������������ = 480 minutes
��� Retransmit������������� = 3�
��� UserID-Attribute������� = uid�
��� Filter����������������� =��
��� Base DN���������������� = "dc=cisco, dc=com"
��� Administrative DN������ = "uid=admin, ou=special users, dc=cisco, dc=com"
��� Administrative Password = ****�
��� AllowMode�������������� = DISABLED�
��� ----------------------
��� Servers
��� -------
����
show_ldap_serv_cmd(): End
��� IP 172.17.241.217, Port = 389, State: ENABLED

authcache de show ldap

dioxin# show ldap authcache

����� AuthCache 
===================== 
hash� 1700 : uid: amikus nBkt: 0x0 nLRU: 0x0 pLRU: 0xb889c00 
������������ lacc: 999508731 ipAddr: d8f111ac keyTp: 1 
hash� 1961 : uid: smarsill nBkt: 0x0 nLRU: 0xb889bc0 pLRU: 0x0 
������������ lacc: 999508484 ipAddr: c003fe90 keyTp: 1

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 4713