Benutzerdefinierte Skripte für CPAR 8.0 konfigurieren

Einleitung

In diesem Dokument wird beschrieben, wie Sie das Verhalten von Cisco Prime Access Registrar (CPAR) 8.0 mithilfe von Skripten und Erweiterungspunkten anpassen.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Verwaltung von CPAR 8.0

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• CPAR 8.0 installiert auf CentOS 6.5 64 Bit 

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

CPAR kann durch interne und externe Skripte geändert werden. Skripte können in C/C++/Java/TCL geschrieben werden. Skripte können verwendet werden, um die Verarbeitung von RADIUS-, TACACS- und DIAMETER-Paketen zu ändern. Auf Skripte kann in CPAR in Erweiterungspunkten verwiesen werden. Erweiterungspunkte sind Einstellungen/Attribute, die unter einigen Konfigurationselementen angezeigt werden und Verweise auf ein Skript ermöglichen. Gemäß Referenzhandbuch ist CPAR nicht verantwortlich für Datenverluste, Schäden usw., die durch benutzerdefinierte Skripte verursacht werden. 

Nachfolgend finden Sie ein Beispiel für zwei Erweiterungspunkte in der Netzwerkgerätekonfiguration.

[ //localhost/Radius/Clients/piborowi ]
    Name = piborowi
    Description =
    Protocol = tacacs-and-radius
    IPAddress = 192.168.255.15
    SharedSecret = <encrypted>
    Type = NAS
    Vendor =
    IncomingScript~ =                          // Extension point for incomming traffic
    OutgoingScript~ =                          // Extension point for outgoing traffic
    EnableDynamicAuthorization = FALSE
    NetMask =
    EnableNotifications = FALSE
    EnforceTrafficThrottling = TRUE

Laut CPAR-Administrationsleitfaden stehen mehrere Erweiterungspunkte zur Verfügung. Auf ein eingehendes Skript kann an jedem dieser Erweiterungspunkte verwiesen werden:

• RADIUS-Server
• Anbieter (des direkten Kunden)
• Client (individuelles NAS)
• NAS - Anbieter hinter dem Proxy
• Client-Behind-the-Proxy
• Remote-Server (vom Typ RADIUS)
• Service

Auf ein Authentifizierungs- oder Autorisierungsskript kann an jedem der folgenden Erweiterungspunkte verwiesen werden:

• Gruppenauthentifizierung
• Benutzerauthentifizierung
• Gruppenautorisierung
• Benutzerautorisierung

Auf das ausgehende Skript kann an jedem der folgenden Erweiterungspunkte verwiesen werden:

• Service
• Client-Behind-the-Proxy
• NAS - Anbieter hinter dem Proxy
• Client (individuelles NAS)
• NAS-Anbieter
• RADIUS-Server

Es ist wichtig, die Reihenfolge zu verstehen, in der Skripte von CPAR ausgeführt werden, da es mehrere Erweiterungspunkte gibt. In Tabelle 7-1 des Administratorhandbuchs finden Sie die Reihenfolge der 29 verfügbaren Skript-/Erweiterungspunkte.

Ein internes Skript wird direkt in der CPAR-CLI (aregcmd) konfiguriert. Es erfordert keine externen Dateien und viel Programmierwissen. Ein externes Skript ist ein Skript, das in einer Datei im Betriebssystem (CENTOS oder RHEL) gespeichert und in der CPAR-CLI nur referenziert wird. 

Konfigurieren

Internes Skript für ausgehenden Datenverkehr

In internen Skripten können Sie folgende Modifikatoren verwenden:

1. +Empfohlene Antwort: - fügt eine Antwort hinzu und weist diese zu

2. RSP: - Entfernt Attribut aus Antwort

3. #rsp: - Ersetzt Attribut durch neuen Wert

4. kann für "req" (request/incoming packet) und "env" (Umgebungswörterbuch) verwendet werden. Beispiele +req: oder -env:

Fügen Sie unter /Radius/Scripts ein internes Skript hinzu. Konfigurieren Sie zwei zusätzliche AVPs, die mit dem Access-Accept-Paket zurückgegeben werden sollen: Filter-ID und anbieterspezifische ID (zum Beitritt zur Sprachdomäne). 

--> ls -R

[ //localhost/Radius/Scripts/addattr ]
    Name = addattr
    Description =
    Language = internal
    Statements/
        1. +rsp:Filter-Id=PhoneACL
        2. +rsp:Cisco-AVPair=device-traffic-class=voice

--> ls -R

[ Services/local-users ]
    Name = local-users
    Description =
    Type = local
    IncomingScript~ =
    OutgoingScript~ = addattr
    OutagePolicy~ = RejectAll
    OutageScript~ =
    UserList = Default
    EnableDeviceAccess = True
    DefaultDeviceAccessAction~ = DenyAll
    DeviceAccessRules/
        1. switches

Test unter Verwendung des lokalen Radclient:

--> simple  
p011
--> p011 send
p014
--> p014
Packet: code = Access-Accept, id = 18, length = 64, attributes =
        Filter-Id = PhoneACL
        Cisco-AVPair = device-traffic-class=voice

Ablaufverfolgungen:

07/31/2019 10:31:26.254: P2363: Running Service local-users's OutgoingScript: addattr
07/31/2019 10:31:26.254: P2363: Internal Script for 1   +rsp:Filter-Id=PhoneACL : Filter-Id = PhoneACL
07/31/2019 10:31:26.254: P2363: Setting value PhoneACL for attribute Filter-Id
07/31/2019 10:31:26.254: P2363: Trace of Response Dictionary
07/31/2019 10:31:26.254: P2363: Trace of Access-Request packet
07/31/2019 10:31:26.254: P2363:    identifier = 18
07/31/2019 10:31:26.254: P2363:    length = 30
07/31/2019 10:31:26.254: P2363:    respauth = fb:63:14:3f:c1:fb:ac:03:7d:16:29:61:ba:ef:13:4f
07/31/2019 10:31:26.254: P2363:    Filter-Id = PhoneACL
07/31/2019 10:31:26.254: P2363: Internal Script for 2   +rsp:Cisco-AVPair=device-traffic-class=voice : Cisco-AVPair = device-traffic-class=voice
07/31/2019 10:31:26.254: P2363: Setting value device-traffic-class=voice for attribute Cisco-AVPair
07/31/2019 10:31:26.254: P2363: Trace of Response Dictionary
07/31/2019 10:31:26.254: P2363: Trace of Access-Request packet
07/31/2019 10:31:26.254: P2363:    identifier = 18
07/31/2019 10:31:26.254: P2363:    length = 64
07/31/2019 10:31:26.254: P2363:    respauth = fb:63:14:3f:c1:fb:ac:03:7d:16:29:61:ba:ef:13:4f
07/31/2019 10:31:26.254: P2363:    Filter-Id = PhoneACL
07/31/2019 10:31:26.254: P2363:    Cisco-AVPair = device-traffic-class=voice

Internes Skript für eingehenden Datenverkehr

Erstellen Sie ein neues Skript, das alle Benutzernamen im Format user@domain auf anonymous ersetzt, und wenden Sie es als eingehendes Skript für den Dienst an, den Sie verwenden.

Konfiguration:

--> cd /Radius/Scripts

--> add test

--> set language internal

--> cd Statements

--> add 1

--> cd 1 

--> set statements "#req:User-Name=~(.*)(@[a-z]+.[a-z]+)~\anonymous"

--> ls -R

[ //localhost/Radius/Scripts/test ]
    Name = test
    Description =
    Language = internal
    Statements/
        1. #env:User-Name=~(.*)~anonymous

--> ls -R /Radius/Services/employee-service/

[ /Radius/Services/employee-service ]
    Name = employee-service
    Description =
    Type = local
    IncomingScript~ = test
    OutgoingScript~ =
    OutagePolicy~ = RejectAll
    OutageScript~ =
    UserList = default
    EnableDeviceAccess = FALSE
    DefaultDeviceAccessAction~ = DenyAll

Test mit radclient (Anfrage wird höchstwahrscheinlich abgelehnt, da Benutzername in anonym geändert wird):

--> simple @cisco.com 
p01e

--> p01e
Packet: code = Access-Request, id = 27, length = 72, attributes =
User-Name = <username>@cisco.com
User-Password = <password>
NAS-Identifier = localhost
NAS-Port = 7

--> p01e send
p020
--> p020
Packet: code = Access-Reject, id = 27, length = 35, attributes =
        Reply-Message = Access Denied

Nachverfolgung:

Vor der Ausführung des Employee-Services werden drei Skripte aufgerufen. Zunächst ruft CPAR CiscoIncomingScript auf, dann ParseServiceHints, das an die Konfiguration des lokalen Host-Client/Netzwerkgeräts angefügt ist. Es extrahiert den Benutzernamen aus dem Paket und fügt ihn in das Umgebungs-Dictionary ein. Zweites Skript, Test wird aufgerufen und Benutzername im Umgebungs-Dictionary wird von <Benutzername> in anonym geändert

Localhost-Client:

[ //localhost/Radius/Clients/localhost ]
    Name = localhost
    Description =
    Protocol = radius
    IPAddress = 127.0.0.1
    SharedSecret = <encrypted>
    Type = NAS+Proxy
    Vendor = Cisco
    IncomingScript~ = ParseServiceHints
    OutgoingScript~ =
    EnableDynamicAuthorization = FALSE
    NetMask =
    EnableNotifications = FALSE
    EnforceTrafficThrottling = TRUE

Trace-Ausgabe:

07/31/2019 11:38:53.522: P2855: PolicyEngine: [SelectPolicy] Successful
07/31/2019 11:38:53.522: P2855: Using Client: localhost
07/31/2019 11:38:53.522: P2855: Using Vendor: Cisco
07/31/2019 11:38:53.522: P2855: Running Vendor Cisco's IncomingScript: CiscoIncomingScript
07/31/2019 11:38:53.522: P2855: Running Client localhost IncomingScript: ParseServiceHints
07/31/2019 11:38:53.522: P2855: Rex: environ->get( "Request-Type" ) -> "Access-Request"
07/31/2019 11:38:53.522: P2855: Rex: environ->get( "Request-Type" ) -> "Access-Request"
07/31/2019 11:38:53.522: P2855: Rex: environ->get( "User-Name" ) -> "<username>"


07/31/2019 11:38:53.522: P2855: Authenticating and Authorizing with Service employee-service
07/31/2019 11:38:53.522: P2855: Running Service employee-service's IncomingScript: test
07/31/2019 11:38:53.522: P2855: Numbered attribute got for the radius / tacacs packet. ignoring # User-Name
07/31/2019 11:38:53.523: P2855: Numbered attribute got for the radius / tacacs packet. ignoring # User-Name
07/31/2019 11:38:53.523: P2855: Numbered attribute got for the radius / tacacs packet. ignoring # User-Name
07/31/2019 11:38:53.523: P2855: Internal Script for 1   #env:User-Name=~(.*)~anonymous : User-Name = anonymous
07/31/2019 11:38:53.523: P2855: Setting value anonymous for attribute User-Name
07/31/2019 11:38:53.523: P2855: Trace of Environment Dictionary
07/31/2019 11:38:53.523: P2855:            User-Name = anonymous
07/31/2019 11:38:53.523: P2855:            NAS-Name-And-IPAddress = localhost (127.0.0.1)
07/31/2019 11:38:53.523: P2855:            Authorization-Service = employee-service
07/31/2019 11:38:53.523: P2855:            Source-Port = 51169
07/31/2019 11:38:53.523: P2855:            Authentication-Service = employee-service
07/31/2019 11:38:53.523: P2855:            Trace-Level = 1000
07/31/2019 11:38:53.523: P2855:            Destination-Port = 1812
07/31/2019 11:38:53.523: P2855:            Destination-IP-Address = 127.0.0.1
07/31/2019 11:38:53.523: P2855:            Source-IP-Address = 127.0.0.1
07/31/2019 11:38:53.523: P2855:            Enforce-Traffic-Throttling = TRUE
07/31/2019 11:38:53.523: P2855:            Request-Type = Access-Request
07/31/2019 11:38:53.523: P2855:            Script-Level = 6
07/31/2019 11:38:53.523: P2855:            Provider-Identifier = Default
07/31/2019 11:38:53.523: P2855:            Request-Authenticator = 5f:62:5a:72:0f:7b:a2:2a:9c:06:ba:2e:bd:f4:e4:4b
07/31/2019 11:38:53.523: P2855:            Realm = cisco.com
07/31/2019 11:38:53.523: P2855: Getting User anonymous's UserRecord from UserList Default
07/31/2019 11:38:53.523: P2855: Failed to get User anonymous's UserRecord from UserList Default
07/31/2019 11:38:53.523: P2855: Running Vendor Cisco's OutgoingScript: CiscoOutgoingScript
07/31/2019 11:38:53.523: P2855: Trace of Access-Reject packet
07/31/2019 11:38:53.523: P2855:    identifier = 27
07/31/2019 11:38:53.523: P2855:    length = 35
07/31/2019 11:38:53.523: P2855:    respauth = d3:7d:b3:f6:05:47:2c:66:d9:c0:01:7d:67:d7:93:99
07/31/2019 11:38:53.523: P2855:    Reply-Message = Access Denied
07/31/2019 11:38:53.523: P2855: Sending response to 127.0.0.1

Externes Skript erstellen

Fügen Sie eine Datei nadip.tcl zum Verzeichnis /opt/CSCOar/scripts/radius/tcl/ hinzu, und fügen Sie folgenden Inhalt hinzu:

[root@piborowi-cpar80-16 tcl]# cat /opt/CSCOar/scripts/radius/tcl/nadip.tcl
proc UpdateNASIP {request response environ} {
 $request trace 2 "TCL CUSTOM_SCRIPT Updating NAS IP ADDRESS"
 $request trace 2 "Before put: " [ $request get NAS-IP-Address ]
 $request put NAS-IP-Address 1.2.3.4
 $request trace 2 "After put: " [ $request get NAS-IP-Address ]
}

Inhalt von nadip.tcl zeilenweise erklärt:

Zeile #1 Prozedurdefinition und Argumente. Anforderung, Antwort, Umgebung und drei verfügbare Wörterbücher, in denen Sie Sitzungs-/Paketdaten ändern können.

Zeile #2 Debugzeile für Skript, das als Ablaufverfolgungsebene 2 gedruckt werden soll.

Zeile #3 Inhalt des NAS-IP-Adressattributs im Anforderungswörterbuch, bevor Sie diesen Wert festlegen.

Zeile #4 Legen Sie das Attribut "Nas-IP-Address" im Anforderungswörterbuch auf den Wert 1.2.3.4 fest.

Zeile #5 Attribut "NAS-IP-Adresse" erneut drucken.

Nachdem das Skript erstellt und im Betriebssystem gespeichert wurde, konfigurieren Sie den CPAR-Verweis auf das Skript. Sprache als TCL festlegen, Dateiname muss exakter Dateiname mit Erweiterung sein (in diesem Fall nadip.tcl). EntryPoint ist der Name der Prozedur in der Datei, die Sie als Skript ausführen möchten. Referenz erstellt CPAR-Skript unter Service (incomingScript) und Test mit radclient.

Die Linien #2, #3, #5 können in der Spur beobachtet werden:

--> ls -R /Radius/scripts/nadipaddress/

[ /Radius/Scripts/nadipaddress ]
    Name = nadipaddress
    Description =
    Language = tcl             <<<<<<<<
    Filename = nadip.tcl       <<<<<<<<
    EntryPoint = UpdateNASIP   <<<<<<<<
    InitEntryPoint =
    InitEntryPointArgs =

--> ls -R /Radius/services/employee-service/

[ /Radius/Services/employee-service ]
    Name = employee-service
    Description =
    Type = local
    IncomingScript~ = nadipaddress    <<<<<<<<
    OutgoingScript~ =
    OutagePolicy~ = RejectAll
    OutageScript~ =
    UserList = default
    EnableDeviceAccess = FALSE
    DefaultDeviceAccessAction~ = DenyAll

Nachverfolgung:

07/31/2019 13:40:53.615: P3490: Running Service employee-service's IncomingScript: nadipaddress
07/31/2019 13:40:53.615: P3490: TCL CUSTOM_SCRIPT Updating NAS IP ADDRESS
07/31/2019 13:40:53.616: P3490:     Tcl: request trace 2 TCL CUSTOM_SCRIPT Updating NAS IP ADDRESS -> OK
07/31/2019 13:40:53.616: P3490:     Tcl: request get NAS-IP-Address -> <empty>
07/31/2019 13:40:53.616: P3490: Before put:
07/31/2019 13:40:53.616: P3490:     Tcl: request trace 2 Before put:   -> OK
07/31/2019 13:40:53.616: P3490:     Tcl: request put NAS-IP-Address 1.2.3.4 -> OK
07/31/2019 13:40:53.616: P3490:     Tcl: request get NAS-IP-Address -> 1.2.3.4
07/31/2019 13:40:53.616: P3490: After put: 1.2.3.4
07/31/2019 13:40:53.616: P3490:     Tcl: request trace 2 After put:  1.2.3.4 -> OK