Servicios de redes de aplicaciones : Cisco Content Engines de la serie 500

Configurando la autenticación Idap con el Cisco Cache Engine 2.5.1 y posterior

18 Junio 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (21 Abril 2016) | Comentarios


Contenido


Introducción

Este documento proporciona una configuración de muestra para un Cisco Cache Engine. La configuración permite al motor del caché para realizar una búsqueda en la base de datos estándar del Lightweight Directory Access Protocol (LDAP) para permitir o para restringir el acceso del usuario a los recursos Web. Para más información sobre cualquier característica que este los documentos revisa, consideren la sección de la “información relacionada”.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco 500 Series Cache Engine que ejecuta el Cisco Cache Software Release 2.5.1 o más adelante

  • Servidor del Netscape Directory (LDAP) y servidor de OpenLDAP

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco.

Antecedentes

El LDAP fue inventado para preservar las mejores calidades que las ofertas X.500 pero reducen los costos administrativos. El LDAP proporciona un Directory Access Protocol abierto que ejecute encima el TCP/IP. El LDAP conserva el modelo de datos X.500. El protocolo es scalable a un tamaño global y a millones de entradas para una inversión modesta en el hardware y la infraestructura de red. El resultado es una solución del directorio global que es tan asequible que las pequeñas organizaciones pueden utilizarla, pero también puede ser escalada para soportar el más grande del ½ del ¿Â de las empresas. ïÂ

Un motor LDAP-habilitado del caché/el Content Engine (CE) autentica a los usuarios con un servidor LDAP. Con una interrogación HTTP, el CE obtiene un conjunto de las credenciales del usuario, que incluye la identificación del usuario y la contraseña. El CE entonces compara las credenciales a las credenciales en un servidor LDAP. Cuando el CE autentica a un usuario a través del servidor LDAP, el CE salva un expediente de esa autenticación localmente en el RAM CE, dentro del caché de la autenticación. Mientras el CE guarde la entrada de autenticación, las tentativas subsiguientes de ese usuario de acceder el contenido de Internet restricto no requieren las operaciones de búsqueda del servidor LDAP. El período de retención del tiempo predeterminado de la entrada de autenticación es 480 minutos. El mínimo es 30 minutos, y el máximo es 1440 minutos, o 24 horas. Este intervalo es el tiempo entre el acceso a internet más reciente del usuario y el retiro de la entrada de usuario del caché de la autorización. El retiro fuerza el reauthentication con el servidor LDAP.

El la autenticación Idap de los soportes de motor del caché para el modo de representación y transparente, o protocolo web cache communication (WCCP), acceso de modo. En el modo de representación, el CE utiliza la identificación del usuario del cliente como clave para la base de datos de autenticación. Mientras que en el modo transparente, el CE utiliza el dirección IP del cliente como clave para la base de datos de autenticación. El CE utiliza simple, autenticación no encriptada para comunicar con el servidor LDAP.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, use la Command Lookup Tool (solo para clientes registrados).

Configuración

Este documento usa esta configuración:

Cisco Cache Engine 550 (Cisco Cache Software Release 2.5.1)
hostname dioxin
!
interface ethernet 0
�ip address 172.17.241.49 255.255.255.0
�ip broadcast-address 172.17.241.255
�bandwidth 10
�halfduplex
�exit
!
interface ethernet 1
�exit
!
ip default-gateway 172.17.241.1
ip name-server 144.254.6.77
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 172.17.241.1
cron file /local/etc/crontab
lock timezone CET -7 0
!
no bypass load enable
http proxy incoming 8080
wccp router-list 1 172.17.241.214
wccp port-list 1 80 8080
wccp web-cache router-list-num 1
wccp version 2
no wccp slow-start enable
!
authentication login local enable
authentication configuration local enable


!--- Specify the LDAP server IP address and TCP port number.

ldap server host 172.17.241.217 port 389

!--- This is the base Distinguished Name (DN) of the start point 
!--- for the search in the LDAP database.
�
ldap server base dc=cisco, dc=com�

!--- This is the DN of the admin user.
�
ldap server administrative-dn uid=admin, ou=special users, dc=cisco, dc=com�

!--- This is the password for the admin user.
�
ldap server administrative-passwd ****�
proxy-protocols transparent original-proxy
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
!
!
end

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Comandos para resolución de problemas

La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos “show” y ver un análisis del resultado de estos comandos.

Nota: Antes de ejecutar un comando de depuración, consulte Información importante sobre comandos de depuración.

debug https header trace

Ésta es la petición get que viene del cliente.

dioxin# 

!--- These are the HTTP request headers that come from the client.

GET http://missile.cisco.com/ HTTP/1.0
If-Modified-Since: Wed, 01 Mar 2000 18:37:44 GMT; length=2511
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Pragma: no-cache
Host: missile.cisco.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Proxy-authorization: Basic YW1pa3VzOnd3

Ésta es la petición que se remite al servidor de origen después de la autenticación del usuario.

Http request headers sent to server:
GET / HTTP/1.0
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Pragma: no-cache
Host: missile.cisco.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
If-Modified-Since: Wed, 01 Mar 2000 18:37:44 GMT; length=2511
Connection: keep-alive
Via: 1.0 dioxin
X-Forwarded-For: 172.17.241.216

!--- This is the response that is received from the origin server.

Http response headers received from server:
HTTP/1.1 304 Not Modified
Date: Mon, 03 Sep 2001 17:55:22 GMT
Server: Apache/1.3.12 (Unix)� (Red Hat/Linux) PHP/3.0.15 mod_perl/1.21
Connection: Keep-Alive
Keep-Alive: timeout=15, max=100
ETag: "66-9cf-38bd6378"

Ésta es la respuesta que se remite al cliente que hace la petición:

Http response headers sent to client:
HTTP/1.1 304 Not Modified
Date: Mon, 03 Sep 2001 17:55:22 GMT
Server: Apache/1.3.12 (Unix)� (Red Hat/Linux) PHP/3.0.15 mod_perl/1.21
Keep-Alive: timeout=15, max=100
ETag: "66-9cf-38bd6378"
Proxy-Connection: keep-alive

debug ldap authcache all

Éste es el debug que muestra a primer paquete de pedidos esa autenticación Idap de los activadores.

dioxin#ACDaemon: running; 95% = 3800 85% = 3400
ACDaemon: Comparing 1904 > 28800
ACDaemon: freed 0 entries
ACEntry: Proxy Mode; nType=1

!--- The CE sends an authentication-required header to the client.

ACEntry: sending 407 to user - reason 104 
ACEntry: Proxy Mode, no REQ_FLAGS_PROXY_AUTH flag
ACEntry: Proxy Mode; nType=1

!--- The authentication is successful and there is
!--- an addition of the entry to the authentication cache.

ACEntry: added entry at key 1044 
ACEntry: Proxy Mode; nType=1

!--- Subsequent requests from the same client go through
!--- in the way that the CE has them in the authentication cache.

ACEntry: AuthCache Hit!!� 
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!

debug ldap server connect

Esta traza muestra la comunicación CE con el servidor LDAP:

attempt to connect host at later time-serv=1,thread=0
attempt to connect host at later time-serv=1,thread=1
attempt to connect host at later time-serv=1,thread=2
attempt to connect host at later time-serv=1,thread=3
attempt to connect host at later time-serv=1,thread=4
ldap_open_server_on_timer--thread=4e8ac0,magic=dededada,server=1,thread_ind=0
ldap_open_server_on_timer--thread=4e8b20,magic=dededada,server=1,thread_ind=1
ldap_open_server_on_timer--thread=4e8b80,magic=dededada,server=1,thread_ind=2
ldap_open_server_on_timer--thread=4e8be0,magic=dededada,server=1,thread_ind=3
ldap_open_server_on_timer--thread=4e8c40,magic=dededada,server=1,thread_ind=4
ldap_open_server -server/thread = 1 / 0
ldap_open_server --thread=4e8ac0,magic=dededada,server=1,thread_ind=0
ldap found already initialized ld aa55a00
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 1
ldap_open_server --thread=4e8b20,magic=dededada,server=1,thread_ind=1
ldap found already initialized ld aa55600
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 2
ldap_open_server --thread=4e8b80,magic=dededada,server=1,thread_ind=2
ldap found already initialized ld ff9e800
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 3
ldap_open_server --thread=4e8be0,magic=dededada,server=1,thread_ind=3
ldap found already initialized ld aa55e00
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 4
ldap_open_server --thread=4e8c40,magic=dededada,server=1,thread_ind=4
ldap found already initialized ld aa55400
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1

debug ldap server trace

cfg_ldap_serv_host_cmd(): Begin
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
sd 672 connected to: 172.17.241.217
sd 673 connected to: 172.17.241.217
sd 674 connected to: 172.17.241.217
sd 675 connected to: 172.17.241.217
sd 676 connected to: 172.17.241.217

debug ldap server request / receive

Ésta es una traza de la muestra de una petición acertada del servidor LDAP del debug/recibe la búsqueda:

ldap_ce_search_wrap - begin
ldap_ce_search_wrap - result 0 for uid smarsill
ldap_ce_search - uid = smarsill, time = 999512222
ldap_user_auth - uid = smarsill
Ldap Mgmt Auth Bind
ldap Admin dn=4e85cd
ldap_user_auth - mgmt bind result = 0
Ldap Bind - user smarsill
Search result = 0, ffa1f80
ldap_first_entry = ffa1f80
ldap dn=uid=smarsill,ou=tac-bru,dc=cisco,dc=com
Ldap Bind Success
ldap_ce_search - authentication succeeded - uid = smarsill, time=999512222

show ldap server

dioxin# show ldap server
show_ldap_serv_cmd(): Begin
LDAP Configuration:
------------------
LDAP Authentication is on
��� Timeout���������������� = 5 seconds
��� AuthTimeout������������ = 480 minutes
��� Retransmit������������� = 3�
��� UserID-Attribute������� = uid�
��� Filter����������������� =��
��� Base DN���������������� = "dc=cisco, dc=com"
��� Administrative DN������ = "uid=admin, ou=special users, dc=cisco, dc=com"
��� Administrative Password = ****�
��� AllowMode�������������� = DISABLED�
��� ----------------------
��� Servers
��� -------
����
show_ldap_serv_cmd(): End
��� IP 172.17.241.217, Port = 389, State: ENABLED

show ldap authcache

dioxin# show ldap authcache

����� AuthCache 
===================== 
hash� 1700 : uid: amikus nBkt: 0x0 nLRU: 0x0 pLRU: 0xb889c00 
������������ lacc: 999508731 ipAddr: d8f111ac keyTp: 1 
hash� 1961 : uid: smarsill nBkt: 0x0 nLRU: 0xb889bc0 pLRU: 0x0 
������������ lacc: 999508484 ipAddr: c003fe90 keyTp: 1

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 4713