アプリケーション ネットワーキング サービス : Cisco 500 シリーズ コンテンツ エンジン

Cisco Cache Engine 2.5.1 以降での LDAP 認証の設定

2016 年 6 月 18 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 4 月 21 日) | フィードバック


目次


概要

このドキュメントでは、Cisco Cache Engine の設定例を紹介します。 この設定により、キャッシュ エンジンをイネーブルにして、Web リソースへのユーザ アクセスを許可または制限するために、標準の Lightweight Directory Access Protocol(LDAP)のデータベース検索を実行できます。 このドキュメントリビューが、「関連情報」セクションを見る機能に関する詳細については。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Cache Software Release 2.5.1 またはそれ以降を実行する Cisco 500 シリーズ Cache Engine

  • Netscapeディレクトリ(LDAP)サーバおよび OpenLDAP サーバ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

LDAP は X.500 オファーが管理費を削減するが、こと最もよい品質を維持するために発明されました。 LDAP は TCP/IP を実行する開いたディレクトリアクセスプロトコルを提供します。 LDAP は X.500 データ モデルを保ちます。 プロトコルはグローバル なサイズとハードウェアおよびネットワークインフラストラクチャの適度な投資のための数百万のエントリにスケーラブルです。 小さい組織がそれを使用できる企業の最も大きいのサポートするためにまたスケーリングすることができるほど現実的の結果はグローバルディレクトリ ソリューションです。か。

LDAP 対応 Cache Engine/Content Engine (CE)は LDAPサーバを持つユーザを認証します。 HTTP クエリによって、CE は一組のユーザ ID およびパスワードを含むユーザからの資格情報を得ます。 CE は LDAPサーバの資格情報とそれから資格情報を比較します。 CE が LDAPサーバを通してユーザを認証するとき、CE は認証 キャッシュ内の CE RAM でその認証のレコードを、ローカルで保存します。 CE が認証 エントリを保存する限り制限インターネットのコンテンツにアクセスする、そのユーザによるそれに続く試みは LDAPサーバ ルックアップを必要としません。 認証 エントリの保持の既定の時刻期間は 480 分です。 最小は 30 分であり、最大は 1440 分、または 24 時間です。 この間隔はユーザによる最後のインターネットアクセスと許可 キャッシュからのユーザ エントリの取り外し間の時間です。 削除は LDAPサーバとの再認証を強制します。

Cache Engine はプロキシモードおよび透過的な両方のための LDAP認証、または Web Cache Communication Protocol (WCCP)を、モードアクセス サポートします。 プロキシモードでは、CE は認証データベースのためにキーとしてクライアント ユーザ ID を使用します。 透過モードで、CE は認証データベースのためにキーとしてクライアントIPアドレスを使用します間。 CE は LDAPサーバと通信するのに簡単で、暗号化されていない認証使用します。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

設定

このドキュメントでは次の設定を使用しています。

Cisco Cache Engine 550 (2.5.1) Cisco Cache Software Release
hostname dioxin
!
interface ethernet 0
?ip address 172.17.241.49 255.255.255.0
?ip broadcast-address 172.17.241.255
?bandwidth 10
?halfduplex
?exit
!
interface ethernet 1
?exit
!
ip default-gateway 172.17.241.1
ip name-server 144.254.6.77
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 172.17.241.1
cron file /local/etc/crontab
lock timezone CET -7 0
!
no bypass load enable
http proxy incoming 8080
wccp router-list 1 172.17.241.214
wccp port-list 1 80 8080
wccp web-cache router-list-num 1
wccp version 2
no wccp slow-start enable
!
authentication login local enable
authentication configuration local enable


!--- Specify the LDAP server IP address and TCP port number.

ldap server host 172.17.241.217 port 389

!--- This is the base Distinguished Name (DN) of the start point 
!--- for the search in the LDAP database.
?
ldap server base dc=cisco, dc=com?

!--- This is the DN of the admin user.
?
ldap server administrative-dn uid=admin, ou=special users, dc=cisco, dc=com?

!--- This is the password for the admin user.
?
ldap server administrative-passwd ****?
proxy-protocols transparent original-proxy
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
!
!
end

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

トラブルシューティングのためのコマンド

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

debug https header trace

クライアントから来るこれは要求です。

dioxin# 

!--- These are the HTTP request headers that come from the client.

GET http://missile.cisco.com/ HTTP/1.0
If-Modified-Since: Wed, 01 Mar 2000 18:37:44 GMT; length=2511
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Pragma: no-cache
Host: missile.cisco.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Proxy-authorization: Basic YW1pa3VzOnd3

ユーザの認証の後で起源 サーバに転送されるこれは要求です。

Http request headers sent to server:
GET / HTTP/1.0
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Pragma: no-cache
Host: missile.cisco.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
If-Modified-Since: Wed, 01 Mar 2000 18:37:44 GMT; length=2511
Connection: keep-alive
Via: 1.0 dioxin
X-Forwarded-For: 172.17.241.216

!--- This is the response that is received from the origin server.

Http response headers received from server:
HTTP/1.1 304 Not Modified
Date: Mon, 03 Sep 2001 17:55:22 GMT
Server: Apache/1.3.12 (Unix)? (Red Hat/Linux) PHP/3.0.15 mod_perl/1.21
Connection: Keep-Alive
Keep-Alive: timeout=15, max=100
ETag: "66-9cf-38bd6378"

これは要求を作るクライアントに転送される応答です:

Http response headers sent to client:
HTTP/1.1 304 Not Modified
Date: Mon, 03 Sep 2001 17:55:22 GMT
Server: Apache/1.3.12 (Unix)? (Red Hat/Linux) PHP/3.0.15 mod_perl/1.21
Keep-Alive: timeout=15, max=100
ETag: "66-9cf-38bd6378"
Proxy-Connection: keep-alive

debug ldap authcache all

これは LDAP認証を引き起こす最初の要求パケットを示すデバッグです。

dioxin#ACDaemon: running; 95% = 3800 85% = 3400
ACDaemon: Comparing 1904 > 28800
ACDaemon: freed 0 entries
ACEntry: Proxy Mode; nType=1

!--- The CE sends an authentication-required header to the client.

ACEntry: sending 407 to user - reason 104 
ACEntry: Proxy Mode, no REQ_FLAGS_PROXY_AUTH flag
ACEntry: Proxy Mode; nType=1

!--- The authentication is successful and there is
!--- an addition of the entry to the authentication cache.

ACEntry: added entry at key 1044 
ACEntry: Proxy Mode; nType=1

!--- Subsequent requests from the same client go through
!--- in the way that the CE has them in the authentication cache.

ACEntry: AuthCache Hit!!? 
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!

debug ldap server connect

このトレースは LDAPサーバが付いている CE 通信を示します:

attempt to connect host at later time-serv=1,thread=0
attempt to connect host at later time-serv=1,thread=1
attempt to connect host at later time-serv=1,thread=2
attempt to connect host at later time-serv=1,thread=3
attempt to connect host at later time-serv=1,thread=4
ldap_open_server_on_timer--thread=4e8ac0,magic=dededada,server=1,thread_ind=0
ldap_open_server_on_timer--thread=4e8b20,magic=dededada,server=1,thread_ind=1
ldap_open_server_on_timer--thread=4e8b80,magic=dededada,server=1,thread_ind=2
ldap_open_server_on_timer--thread=4e8be0,magic=dededada,server=1,thread_ind=3
ldap_open_server_on_timer--thread=4e8c40,magic=dededada,server=1,thread_ind=4
ldap_open_server -server/thread = 1 / 0
ldap_open_server --thread=4e8ac0,magic=dededada,server=1,thread_ind=0
ldap found already initialized ld aa55a00
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :?
ldap_open_server -server/thread = 1 / 1
ldap_open_server --thread=4e8b20,magic=dededada,server=1,thread_ind=1
ldap found already initialized ld aa55600
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :?
ldap_open_server -server/thread = 1 / 2
ldap_open_server --thread=4e8b80,magic=dededada,server=1,thread_ind=2
ldap found already initialized ld ff9e800
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :?
ldap_open_server -server/thread = 1 / 3
ldap_open_server --thread=4e8be0,magic=dededada,server=1,thread_ind=3
ldap found already initialized ld aa55e00
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :?
ldap_open_server -server/thread = 1 / 4
ldap_open_server --thread=4e8c40,magic=dededada,server=1,thread_ind=4
ldap found already initialized ld aa55400
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :?
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1

debug ldap server trace

cfg_ldap_serv_host_cmd(): Begin
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
?connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
?connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
?connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
?connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
?connect with custom connect function-38701c
sd 672 connected to: 172.17.241.217
sd 673 connected to: 172.17.241.217
sd 674 connected to: 172.17.241.217
sd 675 connected to: 172.17.241.217
sd 676 connected to: 172.17.241.217

debug ldap server request / receive

これは正常な debug ldap server request/receive 検索のサンプル トレースです:

ldap_ce_search_wrap - begin
ldap_ce_search_wrap - result 0 for uid smarsill
ldap_ce_search - uid = smarsill, time = 999512222
ldap_user_auth - uid = smarsill
Ldap Mgmt Auth Bind
ldap Admin dn=4e85cd
ldap_user_auth - mgmt bind result = 0
Ldap Bind - user smarsill
Search result = 0, ffa1f80
ldap_first_entry = ffa1f80
ldap dn=uid=smarsill,ou=tac-bru,dc=cisco,dc=com
Ldap Bind Success
ldap_ce_search - authentication succeeded - uid = smarsill, time=999512222

show ldap server

dioxin# show ldap server
show_ldap_serv_cmd(): Begin
LDAP Configuration:
------------------
LDAP Authentication is on
??? Timeout???????????????? = 5 seconds
??? AuthTimeout???????????? = 480 minutes
??? Retransmit????????????? = 3?
??? UserID-Attribute??????? = uid?
??? Filter????????????????? =??
??? Base DN???????????????? = "dc=cisco, dc=com"
??? Administrative DN?????? = "uid=admin, ou=special users, dc=cisco, dc=com"
??? Administrative Password = ****?
??? AllowMode?????????????? = DISABLED?
??? ----------------------
??? Servers
??? -------
????
show_ldap_serv_cmd(): End
??? IP 172.17.241.217, Port = 389, State: ENABLED

show ldap authcache

dioxin# show ldap authcache

????? AuthCache 
===================== 
hash? 1700 : uid: amikus nBkt: 0x0 nLRU: 0x0 pLRU: 0xb889c00 
???????????? lacc: 999508731 ipAddr: d8f111ac keyTp: 1 
hash? 1961 : uid: smarsill nBkt: 0x0 nLRU: 0xb889bc0 pLRU: 0x0 
???????????? lacc: 999508484 ipAddr: c003fe90 keyTp: 1

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 4713