Services de mise en réseau d'applications : Cache Engines de la gamme Cisco 500

Configuration de l'authentification RADIUS à l'aide de Cisco Cache Engine

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit des instructions sur la façon dont configurer l'authentification de RAYON par le moteur de cache au Cisco Secure Access Control Server (ACS) pour le NT de Microsoft Windows. Vous devriez être la version 2 courante (WCCPv2) de Web Cache Communication Protocol pour suivre correctement cette procédure. Veuillez se référer à la version 2 de configuration de Web Cache Communication Protocol sur un moteur de cache et un routeur de Cisco pour plus d'informations sur la version 2 WCCP.

Conditions préalables

Conditions requises

Avant de tenter cette configuration, assurez-vous que vous répondez à ces exigences :

  • Connaissance de Cisco Secure ACS pour Windows ou l'UNIX.

  • Connaissance de la configuration WCCPv2 sur le routeur et le moteur de cache.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Moteur de cache 505 de Cisco dans un environnement de travaux pratiques avec des configurations effacées

  • Routeur Cisco 2600

  • Version de logiciel 2.31 de moteur de cache de Cisco

  • Version de logiciel 12.1(3)T 3 de ½ du ¿  de Cisco IOSïÂ

  • Cisco Secure ACS pour des serveurs de Microsoft Windows NT/2000

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/15041/radius_ce-01.gif

Conventions

Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez l'authentification de RAYON par la procédure de moteur de cache

Employez ces étapes pour configurer le moteur de cache pour l'authentification de RAYON :

  1. Configurez le moteur de cache comme serveur d'accès à distance (NAS) dans le Cisco Secure ACS pour Windows NT.

  2. Configurez les informations utilisateur dans le Cisco Secure ACS pour Windows NT.

  3. Configurez le moteur de cache pour le RAYON, et spécifiez l'hôte et l'information principale.

    radius-server host 172.18.124.106
     radius-server key cisco123
    
  4. Configurez le routeur pour le WCCP.

    Vos lignes de commande pour le moteur de cache devraient ressembler à ceci :

    cepro#configure terminal 
    
    !--- Enter configuration commands, one per line. 
    !--- End with CNTL/Z. 
    
    cepro(config)#radius-server host 172.18.124.106 
    cepro(config)#radius-server key cisco123 
    cepro#

C'est la configuration du cache Engine/NAS sur le Cisco Secure ACS pour Windows NT :

/image/gif/paws/15041/radius_ce-02.gif

C'est la page d'installation utilisateur sur le Cisco Secure ACS pour Windows NT :

/image/gif/paws/15041/radius_ce-03.gif

radius_ce-04.gif

Vérifiez

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

Commandes de moteur de cache :

  • show version — Affiche l'exécution de version de logiciel sur le moteur de cache.

  • matériel d'exposition — Affiche la version de logiciel et le type de matériel sur le moteur de cache.

  • show running-config — Affiche la configuration en cours réelle sur le moteur de cache.

  • affichez l'utilisation de HTTP stat — Affiche des statistiques d'utilisation.

  • stat de show radius [toute | primaire | ] — statistiques secondaires d'authentification d'affichages pour les serveurs primaires et secondaires de RAYON.

C'est exemple de sortie de commande de la commande de show version :

cepro#show version
Cisco Cache Engine
Copyright (c) 1986-2001 by Cisco Systems, Inc.
Software Release: CE ver 2.31 (Build: FCS  02/16/01)
Compiled: 11:20:14 Feb 22 2001 by bbalagot
Image text-base 0x108000, data_base 0x437534
 
System restarted by Reload
The system has been up for 3 hours, 52 minutes, 33 seconds.
System booted from "flash"

C'est exemple de sortie de commande de la commande show hardware :

cepro#show hardware
Cisco Cache Engine
Copyright (c) 1986-2001 by Cisco Systems, Inc.
Software Release: CE ver 2.31 (Build: FCS  02/16/01)
Compiled: 11:20:14 Feb 22 2001 by bbalagot
Image text-base 0x108000, data_base 0x437534
 
System restarted by Reload
The system has been up for 3 hours, 52 minutes, 54 seconds.
System booted from "flash"
 
 
Cisco Cache Engine CE505 with CPU AMD-K6 (model 8) (rev. 12) AuthenticAMD
2 Ethernet/IEEE 802.3 interfaces
1 Console interface.
134213632 bytes of Physical Memory
131072 bytes of ROM memory.
8388608 bytes of flash memory.
 
List of disk drives:
 /c0t0d0  (scsi bus 0, unit 0, lun 0)

C'est exemple de sortie de commande de la commande show running-config :

cepro#show running-config
Building configuration...
Current configuration:
!
!
logging recycle 64000
logging trap information
!
user add admin uid 0  password 1 "eeSdy9dcy"  capability admin-access
!
!
!
hostname cepro
!
interface ethernet 0
 ip address 10.27.2.2 255.255.255.0
 ip broadcast-address 10.27.2.255
exit
!
!
interface ethernet 1
exit
!
ip default-gateway 10.27.2.1
ip name-server 161.44.11.21
ip name-server 161.44.11.206
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 10.27.2.1
cron file /local/etc/crontab
!
bypass timer 1

!--- Specify the router list for use with WCCPv2.

wccp router-list 1 10.27.2.1 172.18.124.211


!--- Instruct the router to run web cache service with WCCPv2.

wccp web-cache router-list-num 1


!--- WCCPv2 enabled.

wccp version 2
!

!--- RADIUS Server host and port is defined.

radius-server host 172.18.124.106 auth-port 1645
radius-server host 172.18.124.103 auth-port 1645

!--- RADIUS key defined.

radius-server key ****
authentication login local enable
authentication configuration local enable
transaction-logs enable
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
!
!
end
cepro#

Commandes de routeur :

  • show running-config — Affiche la configuration en cours réelle sur le routeur.

  • show ip wccp — Affiche tous les services enregistrés.

  • détail de <service-id> de show ip wccp — Affiche la position-distribution WCCP pour chaque cache dans la batterie. Par exemple, détail de Web-cache de show ip wccp.

C'est exemple de sortie de commande de la commande show running-config :

33-ns-gateway#show running-config
Building configuration...
      Current configuration:
        !
        version 12.1
        service timestamps debug datetime msec
        service timestamps log datetime msec
        no service password-encryption
        !
        hostname 33-Ns-gateway
        !
        logging buffered 64000 debugging
        enable secret 5 $1$IWJr$nI.NcIr/b9DN7jEQQC17R/
        !
        !
        !
        !
        !
        ip subnet-zero
         
!--- WCCP enabled.

        ip wccp web-cache
        ip cef
        no ip domain-lookup
        ip domain-name testdomain.com
        ip name-server 161.44.11.21
        ip name-server 161.44.11.206
        !
        !
        !
        !
        interface Ethernet0/0
        ip address 10.1.3.50 255.255.255.0
        no ip route-cache cef
        !
        interface Ethernet1/0
        description interface to the CE .5
        bandwidth 100
        ip address 10.27.2.1 255.255.255.0
        full-duplex
        !
        interface Ethernet1/1
        description inter to DMZ
        ip address 172.18.124.211 255.255.255.0
        
!--- Configure the interface to enable the router 
        !--- to verify that the appropriate 	
        !--- packets are redirected to the cache engine.

        ip wccp web-cache redirect out
        no ip route-cache cef
        no ip route-cache
        no ip mroute-cache
        !
        interface Ethernet1/2
        description Preconfigured for recreates 10.27.3.0/24 net
        ip address 10.27.3.1 255.255.255.0
        no ip route-cache cef
        !
        interface Ethernet1/3
        no ip address
        shutdown
        !
        ip classless
        ip route 0.0.0.0 0.0.0.0 172.18.124.1
        no ip http server
        !
        !
        line con 0
        exec-timeout 0 0
        transport input none
        line aux 0
        exec-timeout 0 0
        line vty 0 4
        exec-timeout 0 0
        password ww
        login
        !
        end
33-Ns-gateway#

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Dépannage des commandes

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

Remarque: Avant d'exécuter les commandes debug, référez-vous à la section Informations importantes sur les commandes Debug.

Commandes de moteur de cache :

  • le debug authentication tout débugge entièrement l'authentification.

  • le debug radius tout affiche entièrement le module de RAYON d'interface web mettent au point.

  • distributeur intégrant son logiciel au matériel de type/log/translog/working.log — Vérifie que l'URLs sont cachés, et que les accès client les pages. N'importe quel autre type de messages devrait être soutien visé de CiscoTechnical de clarification. Le type le plus commun de messages d'erreur dans ce log authenticationfailed en raison de l'utilisateur inconnu, ou de la clé d'incorrectserver.

C'est exemple de sortie de commande du debug radius tous les tous et le debug authentication toutes toutes les commandes :

RadiusCheck(): Begin
RadiusCheck(): Begin
RadiusCheck(): Begin
RadiusBuildRequest(): Begin
RadiusBuildRequest(): Begin
RadiusBuildRequest(): Begin
[82] User-Name = "chbanks"
[82] User-Name = "chbanks"
[82] User-Name = "chbanks"
[82] NAS-IP-Address = 10.27.2.2
[82] NAS-IP-Address = 10.27.2.2
[82] NAS-IP-Address = 10.27.2.2
[82] NAS-Port = 80
[82] NAS-Port = 80
[82] NAS-Port = 80
RadiusAuthenticate(): Begin
RadiusAuthenticate(): Begin
RadiusAuthenticate(): Begin
CfgGetRadiusInfo(): Begin
CfgGetRadiusInfo(): Begin
CfgGetRadiusInfo(): Begin
UpdatePassword(): Begin
UpdatePassword(): Begin
UpdatePassword(): Begin
[82] radsend: Request to 172.18.124.106 id=1, length=171
[82] radsend: Request to 172.18.124.106 id=1, length=171
[82] radsend: Request to 172.18.124.106 id=1, length=171
RadiusReplyValidate(): Begin
RadiusReplyValidate(): Begin
RadiusReplyValidate(): Begin
RadiusReplyValidate(): [82] Received 26 byte message back
RadiusReplyValidate(): [82] Received 26 byte message back
RadiusReplyValidate(): [82] Received 26 byte message back
RadiusReplyValidate(): Got a valid response from server 172.18.124.106.
RadiusReplyValidate(): Got a valid response from server 172.18.124.106.
RadiusReplyValidate(): Got a valid response from server 172.18.124.106.
DecodeReply(): Begin
DecodeReply(): Begin
DecodeReply(): Begin
DecodeReply: WEB_YES_BLOCKING default
DecodeReply: WEB_YES_BLOCKING default
DecodeReply: WEB_YES_BLOCKING default
RadiusCheck(): WEB_YES_BLOCKING
RadiusCheck(): WEB_YES_BLOCKING
RadiusCheck(): WEB_YES_BLOCKING
RemoteUserAdd(): Begin
RemoteUserAdd(): Begin
RemoteUserAdd(): Begin
RemoteUserAdd(): Updated remote user chbanks
RemoteUserAdd(): Updated remote user chbanks
RemoteUserAdd(): Updated remote user chbanks
RemoteUserAuthenticate(): Begin
RemoteUserAuthenticate(): Begin
RemoteUserAuthenticate(): Begin
CfgGetRadiusInfo(): Begin
CfgGetRadiusInfo(): Begin
CfgGetRadiusInfo(): Begin
CfgRadiusGetExcludeState(): Begin
CfgRadiusGetExcludeState(): Begin
CfgRadiusGetExcludeState(): Begin
CfgRadiusGetExcludeState(): flag  = 0
CfgRadiusGetExcludeState(): flag  = 0
CfgRadiusGetExcludeState(): flag  = 0
RemoteUserUpdate(): Begin
RemoteUserUpdate(): Begin
RemoteUserUpdate(): Begin
CfgRadiusGetMultipleUserPromptState(): Begin
CfgRadiusGetMultipleUserPromptState(): Begin
CfgRadiusGetMultipleUserPromptState(): Begin
CfgRadiusGetMultipleUserPromptState(): flag  = 1
CfgRadiusGetMultipleUserPromptState(): flag  = 1
CfgRadiusGetMultipleUserPromptState(): flag  = 1
CfgRadiusGetMultipleUserPromptTimeout(): Begin
CfgRadiusGetMultipleUserPromptTimeout(): Begin
CfgRadiusGetMultipleUserPromptTimeout(): Begin
CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25
CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25
CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25
fsgetUsrInfoforIpAddr_radius will be called
fsgetUsrInfoforIpAddr_radius will be called
fsgetUsrInfoforIpAddr_radius will be called
RemoteUserUpdate() returned true
RemoteUserUpdate() returned true
 
RemoteUserUpdate() returned true

Commande de routeur :

  • show ip wccp — Affiche des statistiques globales WCCP.


Informations connexes


Document ID: 15041