アプリケーション ネットワーキング サービス : Cisco Application and Content Networking System (ACNS) ??????

ACNS 5.0.1 および Microsoft Active Directory を実行する Content Engine との HTTP 要求認証の設定

2003 年 6 月 23 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2004 年 9 月 22 日) | フィードバック

目次

概要
はじめに
     表記法
     前提条件
     使用するコンポーネント
設定
     設定
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この文書の設定例では、Cisco Content Engine をセットアップして、アクティブ ディレクトリ Lightweight Directory Access Protocol(LDAP)データベース検索を実行し、Web リソースへのユーザ アクセスを許可/制限する方法を示しています。

アクティブ ディレクトリ データベースは、Windows 2000 サーバのユーザ データベースです。 LDAP プロトコルは、認証を行うためにこのデータベースを照会することができます。 一般的に、Content Engine LDAP クライアントは、LDAP サーバのユーザ データベースを照会し、ユーザ アカウントの有効時間、特権、ユーザが属するグループなど、ユーザの認定証を取得します。 Cisco Application and Content Networking System(ACNS)5.0 ソフトウェアでは、Content Engine LDAP クライアントも、Windows 2000 サーバ データベースのリモート アクティブディレクトリで設定されているユーザの認証と権限付与を行うことができます。

Miscrosoft Active Directory を LDAP サーバとして使用し Content Engine との認証を行うには、ある特定の手順を行う必要があります。 デフォルトでは、Microsoft Active Directory では匿名 LDAP クエリが許可されていません。 LDAP クエリを実行したりディレクトリを参照するには、Windows システムの管理者グループに属するアカウントの Distinguished Name(DN; 認定者名)を使用して、LDAP クライアントを LDAP サーバにバインドする必要があります。

Microsoft Active Directory を LDAP サーバとしてセットアップするには、管理者グループの 1 つのアカウントの完全な DN とパスワードを決定する必要があります。 たとえば、Active Directory の管理者が、Windows NT/2000 の Active Directory Users and Computers コントロール パネルの Users フォルダにアカウントを作成し、DNS ドメインが sns.cisco.com である場合、結果的に DN は、cn=<adminUsername>、cn=users、dc=sns、dc=cisco、dc=com という構造になります。

LDAP は、X.500 により提供される最高の品質を維持しながら、管理コストを削減するために開発されました。 LDAP は、TCP/IP 上で実行されるオープンなディレクトリ アクセス プロトコルを実現します。 LDAP は X.500 データ モデルを保持し、ハードウェアとネットワーク インフラストラクチャへの適度な投資により、グローバル規模および数百万エントリにまでスケーラブルになっています。 結果として、小規模な組織でも十分利用可能な経済性のみならず、最大規模の企業をサポートできるような拡張性をも備えたグローバル ディレクトリ ソリューションになっています。

LDAP 対応の Cache Engine/Content Engine は、ユーザと LDAP サーバとの認証を行います。 HTTP クエリを使用して、Content Engine はユーザから認定証のセット(ユーザ ID とパスワード)を取得し、それらを LDAP サーバ内のものと比較します。 Content Engine が LDAP サーバを介してユーザを認証する場合、その認証のレコードは Content Engine の RAM(認証キャッシュ)にローカルに保存されます。 認証エントリが保持されている限り、そのユーザがそれ以降制限されたインターネット コンテンツにアクセスしようとする場合に、LDAP サーバのルックアップは必要ありません。 デフォルトは 480 分で、最小は 30 分、最大は 1440 分(24 時間)です。 これは、ユーザの最後のインターネット アクセスから、そのユーザのエントリが認証キャッシュから削除され、LDAP サーバとの再認証が強制されるまでの時間間隔です。

Cache Engine は、プロキシ モードと透過(WCCP)モードの両方のアクセスで LDAP 認証をサポートしています。 プロキシ モードでは、Cache Engine は認証データベースのキーとしてクライアントのユーザ ID を使用しますが、透過モードでは、Cache Engine は認証データベースのキーとしてクライアントの IP アドレスを使用します。 Cache Engine は、シンプルな(暗号化されていない)認証を使用して、LDAP サーバと通信します。

はじめに

表記法

文書の表記法の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。

前提条件

この文書に関する特別な前提条件はありません。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • ACNS 5.0.1 を実行する Cisco Content Engine 7325

  • アクティブ ディレクトリを搭載した Microsoft Windows 2000 Advanced Server

この文書の情報は、特定のラボ環境にある装置に基づいて作成されています。 また、この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。 実稼動中のネットワークで作業をしている場合、実際にコマンドを使用する前に、その潜在的な影響について理解しておく必要があります。

設定

この項では、この文書で説明する機能を設定するために必要な情報を提供します。

注: この文書で使用されているコマンドの詳細を調べるには、Command Lookup ツールを使用してください(登録ユーザのみ)。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

設定

Cisco Content Engine 7325(Cisco ACNS ソフトウェア リリース 5.0.1)

    hostname V5CE7325
    !
    !
    http authentication cache timeout 5
    http proxy incoming 80 8080 
    !
    ip domain-name cisco.com
    !
    interface GigabitEthernet 1/0
     ip address 10.48.67.23 255.255.254.0
     exit
    interface GigabitEthernet 2/0
     shutdown
     exit
    !
    !
    ip default-gateway 10.48.66.1
    !
    primary-interface GigabitEthernet 1/0
    !
    !
    no auto-register enable
    !
    !
    multicast accept-license-agreement
    !
    !
    ip name-server 10.48.66.123
     
    username admin password 1 CfxnDoKDWrBds
    username admin privilege 15
    !
     
    ldap server base "dc=sns,dc=cisco,dc=com"
    
    
    ! --- これは、LDAP データベースでの検索の出発点となる
    --- 基本の DN です。
    
    ldap server userid-attribute cn
    
    
    !-- ユーザの CN を検索します。
    
    ldap server host 10.48.66.217 primary
    
    
    !--- LDAP サーバの IP アドレス番号。
    
    ldap server administrative-dn "cn=Administrator,cn=users,dc=sns,dc=cisco,dc=com"
    
    
    ! --- これは管理者ユーザの DN です。
    
    ldap server administrative-passwd ****
    
    
    ! --- これは管理者ユーザのパスワードです。
    
    ldap server version 3
    
    
    !--- Active Directory には LDAP バージョン 3 を使用します。
    
    ldap server active-directory-group enable
    
    
    !--- グループのメンバシップに基づいてユーザを許可します。
    
    ldap server enable
    !
    authentication login local enable primary
    authentication configuration local enable primary
    !
    access-lists 300 permit groupname internet
    access-lists 300 deny groupname any
    
    
    ! --- ユーザ グループに許可されている事項を定義します。
    
    !
    access-lists enable
    !
    !
    cdm ip 10.48.67.25
    cms enable
    !
    !
    end

確認

この項では、設定が正常に動作しているかどうかを確認する際に役立つ情報を示します。

注: debug コマンドを発行する前に、「debug コマンドに関する重要な情報」を参照してください。

  • show ldap:このコマンドは、設定の詳細を表示します。 次にコマンドの出力例を示します。

                Allow mode:     disabled
                Base DN:        dc=sns,dc=cisco,dc=com
                Filter:         <none>
                Retransmits:    2
                Timeout:        5 seconds
                UID Attribute:  cn
                Group Attribute:         memberOf
                Administrative DN:       cn=Administrator,cn=users,dc=sns,dc=cisco,dc=com
                Administrative Password: ****
                LDAP version:   3
                LDAP port:      389
                Server            Status   
                ---------------   ---------
                10.48.66.217      primary
                <none>            secondary
        
  • show access-lists:このコマンドは、有効になっている Access Control List(ACL; アクセス コントロール リスト)を表示します。

        
  • show http-authcache:このコマンドは、認証キャッシュを表示します。 次にコマンドの出力例を示します。

        V5CE7325#sh http-authcache 
        Apr 10 10:08:03 V5CE7325 -admin-shell: 
           %CE-PARSER-6-350232:CLI_LOG:sh http-authcache  
        AuthCache
        =====================
        hash   835 : uid: gdufour nBkt: (nil) nLRU: (nil) pLRU: (nil)
        lacc: 70 ipAddr: 144.254.9.45 keyType: UidPwd Based filterTp: 0 authUsed: 1
  • debug https header trace:このコマンドを使用すると、Content Engine によって受信された要求の表示とトラブルシューティングを行うことができます。

  • debug authentication http-request:このコマンドを使用すると、認証プロセスの表示とトラブルシューティングを行うことができます。 次にコマンドの出力例を示します。

    認証の成功

        V5CE7325#Apr 10 10:17:33 V5CE7325 http_authmod: pam_sm_authenticate:2498 
           ***pam_ldap: Begin 
        Apr 10 10:17:33 V5CE7325 http_authmod: pam_sm_authenticate:2502 
           *** pam_ldap: Got username gdufour 
        Apr 10 10:17:33 V5CE7325 http_authmod: _pam_ldap_get_session:1977 
           *** pam_ldap: Begin 
        Apr 10 10:17:33 V5CE7325 http_authmod: _read_config:570 
           ***pam_ldap: Reading configuration 
        Apr 10 10:17:33 V5CE7325 http_authmod: ldap_server_validate:1928 
           ***pam_ldap: === Host[0] 10.48.66.217 ===
        Apr 10 10:17:33 V5CE7325 http_authmod: ldap_server_isalive:1851 
           ***pam_ldap: Connecting... 
        Apr 10 10:17:33 V5CE7325 http_authmod: ldap_server_isalive:1867 
           ***pam_ldap: Socket timeout 5 
        Apr 10 10:17:33 V5CE7325 http_authmod: ldap_server_isalive:1891 
           ***pam_ldap: Connected to 10.48.66.217
        Apr 10 10:17:33 V5CE7325 http_authmod: ldap_server_validate:1948 
           ***pam_ldap: ServerAlive [1] (up=1, down=0) 
        Apr 10 10:17:33 V5CE7325 http_authmod: pam_sm_authenticate:2508 
           *** pam_ldap: Got session 
        Apr 10 10:17:33 V5CE7325 http_authmod: pam_sm_authenticate:2519 
           *** pam_ldap: Do authentication 
        Apr 10 10:17:33 V5CE7325 http_authmod: _get_user_info:1672 
           *** pam_ldap: Begin user gdufour 
        Apr 10 10:17:33 V5CE7325 http_authmod: _connect_anonymously:1059 
           *** pam_ldap: Host 10.48.66.217 
        Apr 10 10:17:33 V5CE7325 http_authmod: _connect_anonymously:1063 
           *** pam_ldap: Open session 
        Apr 10 10:17:33 V5CE7325 http_authmod: _open_session:927 
           *** pam_ldap: Begin
        Apr 10 10:17:33 V5CE7325 http_authmod: _connect_anonymously:1074 
           *** pam_ldap: Binding... 
        Apr 10 10:17:33 V5CE7325 http_authmod: _get_user_info:1676 
           *** pam_ldap: Connected anonymously 
        Apr 10 10:17:33 V5CE7325 http_authmod: _get_user_info:1699 
           *** pam_ldap: Filter (cn=gdufour) 
        Apr 10 10:17:33 V5CE7325 http_authmod: _get_user_info:1754 
           *** pam_ldap: 
           after ldap_get_dn userdn CN=gdufour,CN=Users,DC=sns,DC=cisco,DC=com 
        Apr 10 10:17:33 V5CE7325 http_authmod: _get_user_info:1765 
           *** pam_ldap: internet
        Apr 10 10:17:33 V5CE7325 http_authmod: _connect_anonymously:1059 
           *** pam_ldap: Host 10.48.66.217 
        Apr 10 10:17:33 V5CE7325 http_authmod: _connect_anonymously:1074 
           *** pam_ldap: Binding... 
        Apr 10 10:17:33 V5CE7325 http_authmod: pam_sm_authenticate:2522 
           *** pam_ldap: Done authentication SUCCESS 
        Apr 10 10:17:33 V5CE7325 http_authmod: pam_sm_acct_mgmt:2967 
           *** pam_ldap: === Authorization Begin ===  
        Apr 10 10:17:33 V5CE7325 http_authmod: _pam_ldap_get_session:1977 
           *** pam_ldap: Begin 
        Apr 10 10:17:33 V5CE7325 http_authmod: pam_sm_acct_mgmt:3134 
           *** pam_ldap: === Groups ===  
        Apr 10 10:17:33 V5CE7325 http_authmod: pam_sm_acct_mgmt:3138 
           *** pam_ldap: sGroup internet
        Apr 10 10:17:33 V5CE7325 http_authmod: pam_sm_acct_mgmt:3182 
           *** pam_ldap: === After Groups === 
        

    要求の失敗(ユーザがインターネット グループのメンバでない場合)

        V5CE7325#Apr 10 10:23:35 V5CE7325 http_authmod: pam_sm_authenticate:2498 
           ***pam_ldap: Begin 
        Apr 10 10:23:35 V5CE7325 http_authmod: pam_sm_authenticate:2502 
           *** pam_ldap: Got username Jeevan 
        Apr 10 10:23:35 V5CE7325 http_authmod: _pam_ldap_get_session:1977 
           *** pam_ldap: Begin 
        Apr 10 10:23:35 V5CE7325 http_authmod: _read_config:570 
           ***pam_ldap: Reading configuration 
        Apr 10 10:23:35 V5CE7325 http_authmod: ldap_server_validate:1928 
           ***pam_ldap: === Host[0] 10.48.66.217 ===
        Apr 10 10:23:35 V5CE7325 http_authmod: ldap_server_isalive:1851 
           ***pam_ldap: Connecting... 
        Apr 10 10:23:35 V5CE7325 http_authmod: ldap_server_isalive:1867 
           ***pam_ldap: Socket timeout 5 
        Apr 10 10:23:35 V5CE7325 http_authmod: ldap_server_isalive:1891 
           ***pam_ldap: Connected to 10.48.66.217
        Apr 10 10:23:35 V5CE7325 http_authmod: ldap_server_validate:1948 
           ***pam_ldap: ServerAlive [1] (up=1, down=0) 
        Apr 10 10:23:35 V5CE7325 http_authmod: pam_sm_authenticate:2508 
           *** pam_ldap: Got session 
        Apr 10 10:23:35 V5CE7325 http_authmod: pam_sm_authenticate:2519 
           *** pam_ldap: Do authentication 
        Apr 10 10:23:35 V5CE7325 http_authmod: _get_user_info:1672 
           *** pam_ldap: Begin user Jeevan 
        Apr 10 10:23:35 V5CE7325 http_authmod: _connect_anonymously:1059 
           *** pam_ldap: Host 10.48.66.217 
        Apr 10 10:23:35 V5CE7325 http_authmod: _connect_anonymously:1063 
           *** pam_ldap: Open session 
        Apr 10 10:23:35 V5CE7325 http_authmod: _open_session:927 
           *** pam_ldap: Begin
        Apr 10 10:23:35 V5CE7325 http_authmod: _connect_anonymously:1074 
           *** pam_ldap: Binding... 
        Apr 10 10:23:35 V5CE7325 http_authmod: _get_user_info:1676 
           *** pam_ldap: Connected anonymously 
        Apr 10 10:23:35 V5CE7325 http_authmod: _get_user_info:1699 
           *** pam_ldap: Filter (cn=Jeevan) 
        Apr 10 10:23:35 V5CE7325 http_authmod: _get_user_info:1754 
           *** pam_ldap: 
           after ldap_get_dn userdn CN=Jeevan,CN=Users,DC=sns,DC=cisco,DC=com 
        Apr 10 10:23:35 V5CE7325 http_authmod: _get_group_string:1467 
           *** pam_ldap: There is no attribute memberOf
        Apr 10 10:23:35 V5CE7325 http_authmod: _get_user_info:1765 
           *** pam_ldap: 
        Apr 10 10:23:35 V5CE7325 http_authmod: _connect_anonymously:1059 
           *** pam_ldap: Host 10.48.66.217 
        Apr 10 10:23:35 V5CE7325 http_authmod: _connect_anonymously:1074 
           *** pam_ldap: Binding... 
        Apr 10 10:23:35 V5CE7325 http_authmod: pam_sm_authenticate:2522 
           *** pam_ldap: Done authentication SUCCESS 
        Apr 10 10:23:35 V5CE7325 http_authmod: pam_sm_acct_mgmt:2967 
           *** pam_ldap: === Authorization Begin ===  
        Apr 10 10:23:35 V5CE7325 http_authmod: _pam_ldap_get_session:1977 
           *** pam_ldap: Begin 
        Apr 10 10:23:35 V5CE7325 http_authmod: pam_sm_acct_mgmt:3134 
           *** pam_ldap: === Groups ===  
        Apr 10 10:23:35 V5CE7325 http_authmod: pam_sm_acct_mgmt:3138 
           *** pam_ldap: sGroup 
        Apr 10 10:23:35 V5CE7325 http_authmod: pam_sm_acct_mgmt:3182 
           *** pam_ldap: === After Groups ===  
        Apr 10 10:23:35 V5CE7325 http_authmod: pam_sm_authenticate:2498 
           ***pam_ldap: Begin 
        Apr 10 10:23:35 V5CE7325 http_authmod: pam_sm_authenticate:2502 
           *** pam_ldap: Got username Jeevan 
        Apr 10 10:23:35 V5CE7325 http_authmod: _pam_ldap_get_session:1977 
           *** pam_ldap: Begin 
        Apr 10 10:23:35 V5CE7325 http_authmod: _read_config:570 
           ***pam_ldap: Reading configuration 
        Apr 10 10:23:35 V5CE7325 http_authmod: ldap_server_validate:1928 
           ***pam_ldap: === Host[0] 10.48.66.217 ===
        Apr 10 10:23:35 V5CE7325 http_authmod: ldap_server_isalive:1851 
           ***pam_ldap: Connecting... 
        Apr 10 10:23:35 V5CE7325 http_authmod: ldap_server_isalive:1867 
           ***pam_ldap: Socket timeout 5 
        Apr 10 10:23:35 V5CE7325 http_authmod: ldap_server_isalive:1891 
           ***pam_ldap: Connected to 10.48.66.217
        Apr 10 10:23:35 V5CE7325 http_authmod: ldap_server_validate:1948 
           ***pam_ldap: ServerAlive [1] (up=1, down=0) 
        Apr 10 10:23:35 V5CE7325 http_authmod: pam_sm_authenticate:2508 
           *** pam_ldap: Got session 
        Apr 10 10:23:35 V5CE7325 http_authmod: pam_sm_authenticate:2519 
           *** pam_ldap: Do authentication 
        Apr 10 10:23:35 V5CE7325 http_authmod: _get_user_info:1672 
           *** pam_ldap: Begin user Jeevan 
        Apr 10 10:23:35 V5CE7325 http_authmod: _connect_anonymously:1059 
           *** pam_ldap: Host 10.48.66.217 
        Apr 10 10:23:35 V5CE7325 http_authmod: _connect_anonymously:1063 
        

    要求の失敗(ユーザが LDAP データベースに存在しない場合)

        V5CE7325#Apr 10 10:26:31 V5CE7325 http_authmod: pam_sm_authenticate:2498 
           ***pam_ldap: Begin 
        Apr 10 10:26:31 V5CE7325 http_authmod: pam_sm_authenticate:2502 
           *** pam_ldap: Got username Patrick 
        Apr 10 10:26:31 V5CE7325 http_authmod: _pam_ldap_get_session:1977 
           *** pam_ldap: Begin 
        Apr 10 10:26:31 V5CE7325 http_authmod: _read_config:570 
           ***pam_ldap: Reading configuration 
        Apr 10 10:26:31 V5CE7325 http_authmod: ldap_server_validate:1928 
           ***pam_ldap: === Host[0] 10.48.66.217 ===
        Apr 10 10:26:31 V5CE7325 http_authmod: ldap_server_isalive:1851 
           ***pam_ldap: Connecting... 
        Apr 10 10:26:31 V5CE7325 http_authmod: ldap_server_isalive:1867 
           ***pam_ldap: Socket timeout 5 
        Apr 10 10:26:31 V5CE7325 http_authmod: ldap_server_isalive:1891 
           ***pam_ldap: Connected to 10.48.66.217
        Apr 10 10:26:31 V5CE7325 http_authmod: ldap_server_validate:1948 
           ***pam_ldap: ServerAlive [1] (up=1, down=0) 
        Apr 10 10:26:31 V5CE7325 http_authmod: pam_sm_authenticate:2508 
           *** pam_ldap: Got session 
        Apr 10 10:26:31 V5CE7325 http_authmod: pam_sm_authenticate:2519 
           *** pam_ldap: Do authentication 
        Apr 10 10:26:31 V5CE7325 http_authmod: _get_user_info:1672 
           *** pam_ldap: Begin user Patrick 
        Apr 10 10:26:31 V5CE7325 http_authmod: _connect_anonymously:1059 
           *** pam_ldap: Host 10.48.66.217 
        Apr 10 10:26:31 V5CE7325 http_authmod: _connect_anonymously:1063 
           *** pam_ldap: Open session 
        Apr 10 10:26:31 V5CE7325 http_authmod: _open_session:927 
           *** pam_ldap: Begin
        Apr 10 10:26:31 V5CE7325 http_authmod: _connect_anonymously:1074 
           *** pam_ldap: Binding... 
        Apr 10 10:26:31 V5CE7325 http_authmod: _get_user_info:1676 
           *** pam_ldap: Connected anonymously 
        Apr 10 10:26:31 V5CE7325 http_authmod: _get_user_info:1699 
           *** pam_ldap: Filter (cn=Patrick) 
        Apr 10 10:26:31 V5CE7325 http_authmod: pam_sm_authenticate:2522 
           *** pam_ldap: Done authentication FAILURE
        

トラブルシューティング

現時点では、この設定に対して使用可能な特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 42000