Cервисы организации сетевого доступа к приложениям : Модули контента Cisco серии 500

Настройка проверки подлинности LDAP с Cisco Cache Engine 2.5.1 и выше

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (21 апреля 2016) | Отзыв


Содержание


Введение

Этот документ предоставляет пример конфигурации для Cisco Cache Engine. Конфигурация позволяет Cache Engine выполнить стандартный поиск базы данных Протокола LDAP, чтобы позволить или ограничить пользовательский доступ к вебам - ресурсам. Для получения дополнительной информации о любой функции, которую рассматривает этот документ, посмотрите раздел "Дополнительных сведений".

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cache Engine series Cisco 500, который выполняет Cisco Cache Software Release 2.5.1 или позже

  • Каталог Netscape (LDAP) сервер и Сервер OpenLDAP

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Общие сведения

LDAP был изобретен для сохранения высших качеств, которые предлагает X.500, но уменьшите административные расходы. LDAP предоставляет открытый протокол доступа к каталогу, который работает на основе TCP/IP. LDAP сохраняет модель данных X.500. Протокол является масштабируемым к глобальному размеру и к миллионам записей для умеренных вложений в аппаратных средствах и инфраструктуре сети. Результатом является решение для глобального каталога, которое столь доступно, что небольшие организации могут использовать его, но он также может быть масштабирован для поддержки самого большого из предприятий. �

Поддерживающий LDAP Cache Engine / Модуль контента (CE) аутентифицирует пользователей с Сервером LDAP. С Запросом HTTP CE получает ряд учетных данных от пользователя, который включает идентификатор пользователя и пароль. CE тогда сравнивает учетные данные с учетными данными в Сервере LDAP. Когда CE аутентифицирует пользователя через Сервер LDAP, CE хранит запись той аутентификации локально в ОЗУ CE в опознавательном кэше. Пока CE поддерживает запись аутентификации, последующие попытки того пользователя обратиться к ограниченному интернет-контенту не требуют поисков Сервера LDAP. Период удержания времени по умолчанию записи аутентификации составляет 480 минут. Минимум составляет 30 минут, и максимум составляет 1440 минут или 24 часа. Этот интервал является временем между последним доступом в Интернет пользователем и удалением ввода пользователя от кэша авторизации. Удаление вызывает переаутентификацию с Сервером LDAP.

Cache Engine поддерживает проверку подлинности LDAP и для режима proxy и для прозрачный, или протокол WCCP, доступ в режиме. В режиме proxy CE использует ID пользователя клиента в качестве ключа для базы данных проверки подлинности. В то время как в прозрачном режиме, CE использует IP-адрес клиента в качестве ключа для базы данных проверки подлинности. Простое использование CE, незашифрованная аутентификация для передачи с Сервером LDAP.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Поиск дополнительной информации о командах в данном документе можно выполнить с помощью средства "Command Lookup" (Поиск команд) (только для зарегистрированных клиентов).

!--- конфигурацию

В данном документе используется следующая конфигурация:

Cisco Cache Engine 550 (Cisco Cache Software Release 2.5.1)
hostname dioxin
!
interface ethernet 0
�ip address 172.17.241.49 255.255.255.0
�ip broadcast-address 172.17.241.255
�bandwidth 10
�halfduplex
�exit
!
interface ethernet 1
�exit
!
ip default-gateway 172.17.241.1
ip name-server 144.254.6.77
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 172.17.241.1
cron file /local/etc/crontab
lock timezone CET -7 0
!
no bypass load enable
http proxy incoming 8080
wccp router-list 1 172.17.241.214
wccp port-list 1 80 8080
wccp web-cache router-list-num 1
wccp version 2
no wccp slow-start enable
!
authentication login local enable
authentication configuration local enable


!--- Specify the LDAP server IP address and TCP port number.

ldap server host 172.17.241.217 port 389

!--- This is the base Distinguished Name (DN) of the start point 
!--- for the search in the LDAP database.
�
ldap server base dc=cisco, dc=com�

!--- This is the DN of the admin user.
�
ldap server administrative-dn uid=admin, ou=special users, dc=cisco, dc=com�

!--- This is the password for the admin user.
�
ldap server administrative-passwd ****�
proxy-protocols transparent original-proxy
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
!
!
end

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Команды для устранения неполадок

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

Примечание: Прежде чем вызывать команды debug, обратитесь к разделу Важные сведения о командах отладки.

debug https header trace

Это - получить запрос, который прибывает от клиента.

dioxin# 

!--- These are the HTTP request headers that come from the client.

GET http://missile.cisco.com/ HTTP/1.0
If-Modified-Since: Wed, 01 Mar 2000 18:37:44 GMT; length=2511
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Pragma: no-cache
Host: missile.cisco.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Proxy-authorization: Basic YW1pa3VzOnd3

Это - запрос, который передан к исходному серверу после аутентификации пользователя.

Http request headers sent to server:
GET / HTTP/1.0
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Pragma: no-cache
Host: missile.cisco.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
If-Modified-Since: Wed, 01 Mar 2000 18:37:44 GMT; length=2511
Connection: keep-alive
Via: 1.0 dioxin
X-Forwarded-For: 172.17.241.216

!--- This is the response that is received from the origin server.

Http response headers received from server:
HTTP/1.1 304 Not Modified
Date: Mon, 03 Sep 2001 17:55:22 GMT
Server: Apache/1.3.12 (Unix)� (Red Hat/Linux) PHP/3.0.15 mod_perl/1.21
Connection: Keep-Alive
Keep-Alive: timeout=15, max=100
ETag: "66-9cf-38bd6378"

Это - ответ, который передан клиенту, который выполняет запрос:

Http response headers sent to client:
HTTP/1.1 304 Not Modified
Date: Mon, 03 Sep 2001 17:55:22 GMT
Server: Apache/1.3.12 (Unix)� (Red Hat/Linux) PHP/3.0.15 mod_perl/1.21
Keep-Alive: timeout=15, max=100
ETag: "66-9cf-38bd6378"
Proxy-Connection: keep-alive

debug ldap authcache all

Это - отладка, которая показывает первый пакет запроса что триггерная проверка подлинности LDAP.

dioxin#ACDaemon: running; 95% = 3800 85% = 3400
ACDaemon: Comparing 1904 > 28800
ACDaemon: freed 0 entries
ACEntry: Proxy Mode; nType=1

!--- The CE sends an authentication-required header to the client.

ACEntry: sending 407 to user - reason 104 
ACEntry: Proxy Mode, no REQ_FLAGS_PROXY_AUTH flag
ACEntry: Proxy Mode; nType=1

!--- The authentication is successful and there is
!--- an addition of the entry to the authentication cache.

ACEntry: added entry at key 1044 
ACEntry: Proxy Mode; nType=1

!--- Subsequent requests from the same client go through
!--- in the way that the CE has them in the authentication cache.

ACEntry: AuthCache Hit!!� 
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!
ACEntry: Proxy Mode; nType=1
ACEntry: AuthCache Hit!!

debug ldap server connect

Эта трассировка показывает связь CE с Сервером LDAP:

attempt to connect host at later time-serv=1,thread=0
attempt to connect host at later time-serv=1,thread=1
attempt to connect host at later time-serv=1,thread=2
attempt to connect host at later time-serv=1,thread=3
attempt to connect host at later time-serv=1,thread=4
ldap_open_server_on_timer--thread=4e8ac0,magic=dededada,server=1,thread_ind=0
ldap_open_server_on_timer--thread=4e8b20,magic=dededada,server=1,thread_ind=1
ldap_open_server_on_timer--thread=4e8b80,magic=dededada,server=1,thread_ind=2
ldap_open_server_on_timer--thread=4e8be0,magic=dededada,server=1,thread_ind=3
ldap_open_server_on_timer--thread=4e8c40,magic=dededada,server=1,thread_ind=4
ldap_open_server -server/thread = 1 / 0
ldap_open_server --thread=4e8ac0,magic=dededada,server=1,thread_ind=0
ldap found already initialized ld aa55a00
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 1
ldap_open_server --thread=4e8b20,magic=dededada,server=1,thread_ind=1
ldap found already initialized ld aa55600
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 2
ldap_open_server --thread=4e8b80,magic=dededada,server=1,thread_ind=2
ldap found already initialized ld ff9e800
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 3
ldap_open_server --thread=4e8be0,magic=dededada,server=1,thread_ind=3
ldap found already initialized ld aa55e00
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
ldap_open_server -server/thread = 1 / 4
ldap_open_server --thread=4e8c40,magic=dededada,server=1,thread_ind=4
ldap found already initialized ld aa55400
freeing old host for server 1
connecting new host 172.17.241.217 for server 1
ldap_connect :�
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1
connected to new host(1) 172.17.241.217 for server 1
freed connection, request mutices 172.17.241.217 for server 1

debug ldap server trace

cfg_ldap_serv_host_cmd(): Begin
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
nsldapi_open_ldap_defconn
nsldapi_new_connection
nsldapi_open_ldap_connection
nsldapi_connect_to_host: 172.17.241.217:389
�connect with custom connect function-38701c
sd 672 connected to: 172.17.241.217
sd 673 connected to: 172.17.241.217
sd 674 connected to: 172.17.241.217
sd 675 connected to: 172.17.241.217
sd 676 connected to: 172.17.241.217

debug ldap server request / receive

Это - типовая трассировка успешного запроса сервера LDAP отладки / получают поиск:

ldap_ce_search_wrap - begin
ldap_ce_search_wrap - result 0 for uid smarsill
ldap_ce_search - uid = smarsill, time = 999512222
ldap_user_auth - uid = smarsill
Ldap Mgmt Auth Bind
ldap Admin dn=4e85cd
ldap_user_auth - mgmt bind result = 0
Ldap Bind - user smarsill
Search result = 0, ffa1f80
ldap_first_entry = ffa1f80
ldap dn=uid=smarsill,ou=tac-bru,dc=cisco,dc=com
Ldap Bind Success
ldap_ce_search - authentication succeeded - uid = smarsill, time=999512222

show ldap server

dioxin# show ldap server
show_ldap_serv_cmd(): Begin
LDAP Configuration:
------------------
LDAP Authentication is on
��� Timeout���������������� = 5 seconds
��� AuthTimeout������������ = 480 minutes
��� Retransmit������������� = 3�
��� UserID-Attribute������� = uid�
��� Filter����������������� =��
��� Base DN���������������� = "dc=cisco, dc=com"
��� Administrative DN������ = "uid=admin, ou=special users, dc=cisco, dc=com"
��� Administrative Password = ****�
��� AllowMode�������������� = DISABLED�
��� ----------------------
��� Servers
��� -------
����
show_ldap_serv_cmd(): End
��� IP 172.17.241.217, Port = 389, State: ENABLED

show ldap authcache

dioxin# show ldap authcache

����� AuthCache 
===================== 
hash� 1700 : uid: amikus nBkt: 0x0 nLRU: 0x0 pLRU: 0xb889c00 
������������ lacc: 999508731 ipAddr: d8f111ac keyTp: 1 
hash� 1961 : uid: smarsill nBkt: 0x0 nLRU: 0xb889bc0 pLRU: 0x0 
������������ lacc: 999508484 ipAddr: c003fe90 keyTp: 1

Дополнительные сведения


Document ID: 4713