Configuración de scripts personalizados en CPAR 8.0

Opciones de descarga

  • PDF     (268.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:5 de octubre de 2019
ID del documento:214839

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo personalizar el comportamiento de Cisco Prime Access Registrar (CPAR) 8.0 con el uso de scripts y puntos de extensión.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Administración de CPAR 8.0

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • CPAR 8.0 instalado en CentOS 6.5 de 64 bits 

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    CPAR puede modificarse mediante scripts internos y externos. Las secuencias de comandos se pueden escribir en C/C++/Java/TCL. Las secuencias de comandos se pueden utilizar para modificar el procesamiento de paquetes RADIUS, TACACS y DIAMETER. Se puede hacer referencia a los scripts en CPAR en puntos de extensión. Los puntos de extensión son una configuración/atributo que aparece bajo algunos de los elementos de configuración y permite hacer referencia a un script. De acuerdo con la guía de referencia, CPAR no es responsable de ninguna pérdida de datos, daños, etc. causados por scripts personalizados. 

    Este es un ejemplo de dos puntos de extensión en la configuración del dispositivo de red

    [ //localhost/Radius/Clients/piborowi ]
    Name = piborowi
    Description =
    Protocol = tacacs-and-radius
    IPAddress = 192.168.255.15
    SharedSecret = <encrypted>
    Type = NAS
    Vendor =
    IncomingScript~ =                          // Extension point for incomming traffic
    OutgoingScript~ =                          // Extension point for outgoing traffic
    EnableDynamicAuthorization = FALSE
    NetMask =
    EnableNotifications = FALSE
    EnforceTrafficThrottling = TRUE

    Según la guía de administración de CPAR, hay varios puntos de extensión disponibles. Se puede hacer referencia a un script entrante en cada uno de estos puntos de extensión:

    • servidor RADIUS
    • Proveedor (del cliente inmediato)
    • Cliente (NAS individual)
    • NAS-Vendor-Behind-the-Proxy
    • Cliente detrás del proxy
    • Servidor remoto (de tipo RADIUS)
    • Servicio

    Se puede hacer referencia a un script de autenticación o autorización en cada uno de estos puntos de extensión:

    • Autenticación de grupo
    • Autenticación de usuario
    • Autorización de grupo
    • Autorización de usuario

    Se puede hacer referencia al script saliente en cada uno de estos puntos de extensión:

    • Servicio
    • Cliente detrás del proxy
    • NAS-Vendor-Behind-the-Proxy
    • Cliente (NAS individual)
    • Proveedor de NAS
    • servidor RADIUS

    Es fundamental comprender el orden en que CPAR ejecuta los scripts, ya que hay varios puntos de extensión. Consulte la tabla 7-1 de la guía del administrador para ver el orden de 29 scripts/puntos de extensión disponibles.

    Una secuencia de comandos interna es una que se configura directamente en CPAR CLI (aregcmd). No requiere ningún archivo externo y mucho conocimiento de programación. Una secuencia de comandos externa es aquella que se almacena en un archivo del sistema operativo (CENTOS o RHEL) y a la que se hace referencia en CPAR CLI. 

    Configurar

    Script Interno Para Tráfico Saliente

    En los scripts internos puede utilizar estos modificadores:

    1. +rsp: - agrega y atribuye a la respuesta

    2. -rsp: - quita el atributo de la respuesta

    3. #rsp: : reemplaza el atributo por un nuevo valor

    4. lo anterior se puede utilizar para req (request/incoming packet y env, que es diccionario de entorno). Ejemplos +req: o -env:

    Agregue un script interno en /Radius/Scripts. Configure dos AVP adicionales que se devolverán con el paquete Access-Accept: Filter-Id y Vendor-Specific one (para unirse al dominio de voz). 

    --> ls -R

[ //localhost/Radius/Scripts/addattr ]
    Name = addattr
    Description =
    Language = internal
    Statements/
        1. +rsp:Filter-Id=PhoneACL
        2. +rsp:Cisco-AVPair=device-traffic-class=voice

--> ls -R

[ Services/local-users ]
    Name = local-users
    Description =
    Type = local
    IncomingScript~ =
    OutgoingScript~ = addattr
    OutagePolicy~ = RejectAll
    OutageScript~ =
    UserList = Default
    EnableDeviceAccess = True
    DefaultDeviceAccessAction~ = DenyAll
    DeviceAccessRules/
        1. switches

    Pruebe con el uso de radclient local:

    --> simple  
p011
--> p011 send
p014
--> p014
Packet: code = Access-Accept, id = 18, length = 64, attributes =
        Filter-Id = PhoneACL
        Cisco-AVPair = device-traffic-class=voice

    Rastreos:

    07/31/2019 10:31:26.254: P2363: Running Service local-users's OutgoingScript: addattr
07/31/2019 10:31:26.254: P2363: Internal Script for 1   +rsp:Filter-Id=PhoneACL : Filter-Id = PhoneACL
07/31/2019 10:31:26.254: P2363: Setting value PhoneACL for attribute Filter-Id
07/31/2019 10:31:26.254: P2363: Trace of Response Dictionary
07/31/2019 10:31:26.254: P2363: Trace of Access-Request packet
07/31/2019 10:31:26.254: P2363:    identifier = 18
07/31/2019 10:31:26.254: P2363:    length = 30
07/31/2019 10:31:26.254: P2363:    respauth = fb:63:14:3f:c1:fb:ac:03:7d:16:29:61:ba:ef:13:4f
07/31/2019 10:31:26.254: P2363:    Filter-Id = PhoneACL
07/31/2019 10:31:26.254: P2363: Internal Script for 2   +rsp:Cisco-AVPair=device-traffic-class=voice : Cisco-AVPair = device-traffic-class=voice
07/31/2019 10:31:26.254: P2363: Setting value device-traffic-class=voice for attribute Cisco-AVPair
07/31/2019 10:31:26.254: P2363: Trace of Response Dictionary
07/31/2019 10:31:26.254: P2363: Trace of Access-Request packet
07/31/2019 10:31:26.254: P2363:    identifier = 18
07/31/2019 10:31:26.254: P2363:    length = 64
07/31/2019 10:31:26.254: P2363:    respauth = fb:63:14:3f:c1:fb:ac:03:7d:16:29:61:ba:ef:13:4f
07/31/2019 10:31:26.254: P2363:    Filter-Id = PhoneACL
07/31/2019 10:31:26.254: P2363:    Cisco-AVPair = device-traffic-class=voice

    Script Interno Para Tráfico Entrante

    Cree una nueva secuencia de comandos que reemplace todos los nombres de usuario con formato user@domain a anonymous y aplíquela como secuencia de comandos entrante para el servicio que utiliza.

    Configure

    --> cd /Radius/Scripts

    --> add test

    --> set language internal

    --> cd Statements

    --> add 1

    --> cd 1 

    --> set statements "#req:User-Name=~(.*)(@[a-z]+.[a-z]+)~\anonymous"

    --> ls -R

[ //localhost/Radius/Scripts/test ]
    Name = test
    Description =
    Language = internal
    Statements/
        1. #env:User-Name=~(.*)~anonymous

--> ls -R /Radius/Services/employee-service/

[ /Radius/Services/employee-service ]
    Name = employee-service
    Description =
    Type = local
    IncomingScript~ = test
    OutgoingScript~ =
    OutagePolicy~ = RejectAll
    OutageScript~ =
    UserList = default
    EnableDeviceAccess = FALSE
    DefaultDeviceAccessAction~ = DenyAll

    Prueba con radclient (la solicitud es rechazada probablemente porque el nombre de usuario se cambia a anónimo):

    --> simple @cisco.com 
p01e

    --> p01e
    Packet: code = Access-Request, id = 27, length = 72, attributes =
    User-Name = <username>@cisco.com
    User-Password = <password>
    NAS-Identifier = localhost
    NAS-Port = 7
    
--> p01e send
p020
--> p020
Packet: code = Access-Reject, id = 27, length = 35, attributes =
        Reply-Message = Access Denied

    Seguimiento:

    Antes de ejecutar employee-service, se invocan tres scripts. Primero, CPAR invoca CiscoIncomingScript, luego invoca ParseServiceHints, que se asocia a la configuración de LocalHost Client/Network Device. Extrae el nombre de usuario del paquete y lo pone en el diccionario de entorno. Segundo script, se invoca test y el nombre de usuario en el diccionario de entorno se cambia de <username> a anónimo

    cliente localhost:

    [ //localhost/Radius/Clients/localhost ]
    Name = localhost
    Description =
    Protocol = radius
    IPAddress = 127.0.0.1
    SharedSecret = <encrypted>
    Type = NAS+Proxy
    Vendor = Cisco
    IncomingScript~ = ParseServiceHints
    OutgoingScript~ =
    EnableDynamicAuthorization = FALSE
    NetMask =
    EnableNotifications = FALSE
    EnforceTrafficThrottling = TRUE

    Resultado de seguimiento:

    07/31/2019 11:38:53.522: P2855: PolicyEngine: [SelectPolicy] Successful
07/31/2019 11:38:53.522: P2855: Using Client: localhost
07/31/2019 11:38:53.522: P2855: Using Vendor: Cisco
07/31/2019 11:38:53.522: P2855: Running Vendor Cisco's IncomingScript: CiscoIncomingScript
07/31/2019 11:38:53.522: P2855: Running Client localhost IncomingScript: ParseServiceHints
07/31/2019 11:38:53.522: P2855: Rex: environ->get( "Request-Type" ) -> "Access-Request"
07/31/2019 11:38:53.522: P2855: Rex: environ->get( "Request-Type" ) -> "Access-Request"
07/31/2019 11:38:53.522: P2855: Rex: environ->get( "User-Name" ) -> "<username>"


07/31/2019 11:38:53.522: P2855: Authenticating and Authorizing with Service employee-service
07/31/2019 11:38:53.522: P2855: Running Service employee-service's IncomingScript: test
07/31/2019 11:38:53.522: P2855: Numbered attribute got for the radius / tacacs packet. ignoring # User-Name
07/31/2019 11:38:53.523: P2855: Numbered attribute got for the radius / tacacs packet. ignoring # User-Name
07/31/2019 11:38:53.523: P2855: Numbered attribute got for the radius / tacacs packet. ignoring # User-Name
07/31/2019 11:38:53.523: P2855: Internal Script for 1   #env:User-Name=~(.*)~anonymous : User-Name = anonymous
07/31/2019 11:38:53.523: P2855: Setting value anonymous for attribute User-Name
07/31/2019 11:38:53.523: P2855: Trace of Environment Dictionary
07/31/2019 11:38:53.523: P2855:            User-Name = anonymous
07/31/2019 11:38:53.523: P2855:            NAS-Name-And-IPAddress = localhost (127.0.0.1)
07/31/2019 11:38:53.523: P2855:            Authorization-Service = employee-service
07/31/2019 11:38:53.523: P2855:            Source-Port = 51169
07/31/2019 11:38:53.523: P2855:            Authentication-Service = employee-service
07/31/2019 11:38:53.523: P2855:            Trace-Level = 1000
07/31/2019 11:38:53.523: P2855:            Destination-Port = 1812
07/31/2019 11:38:53.523: P2855:            Destination-IP-Address = 127.0.0.1
07/31/2019 11:38:53.523: P2855:            Source-IP-Address = 127.0.0.1
07/31/2019 11:38:53.523: P2855:            Enforce-Traffic-Throttling = TRUE
07/31/2019 11:38:53.523: P2855:            Request-Type = Access-Request
07/31/2019 11:38:53.523: P2855:            Script-Level = 6
07/31/2019 11:38:53.523: P2855:            Provider-Identifier = Default
07/31/2019 11:38:53.523: P2855:            Request-Authenticator = 5f:62:5a:72:0f:7b:a2:2a:9c:06:ba:2e:bd:f4:e4:4b
07/31/2019 11:38:53.523: P2855:            Realm = cisco.com
07/31/2019 11:38:53.523: P2855: Getting User anonymous's UserRecord from UserList Default
07/31/2019 11:38:53.523: P2855: Failed to get User anonymous's UserRecord from UserList Default
07/31/2019 11:38:53.523: P2855: Running Vendor Cisco's OutgoingScript: CiscoOutgoingScript
07/31/2019 11:38:53.523: P2855: Trace of Access-Reject packet
07/31/2019 11:38:53.523: P2855:    identifier = 27
07/31/2019 11:38:53.523: P2855:    length = 35
07/31/2019 11:38:53.523: P2855:    respauth = d3:7d:b3:f6:05:47:2c:66:d9:c0:01:7d:67:d7:93:99
07/31/2019 11:38:53.523: P2855:    Reply-Message = Access Denied
07/31/2019 11:38:53.523: P2855: Sending response to 127.0.0.1

    Crear script externo

    Agregue un archivo nadip.tcl al directorio /opt/CSCOar/scripts/radius/tcl/ y agregue este contenido:

    [root@piborowi-cpar80-16 tcl]# cat /opt/CSCOar/scripts/radius/tcl/nadip.tcl
    proc UpdateNASIP {request response environ} {
     $request trace 2 "TCL CUSTOM_SCRIPT Updating NAS IP ADDRESS"
     $request trace 2 "Before put: " [ $request get NAS-IP-Address ]
     $request put NAS-IP-Address 1.2.3.4
     $request trace 2 "After put: " [ $request get NAS-IP-Address ]
    }

    Contenido de nadip.tcl explicado línea por línea:

    Línea #1 Definición y argumentos del procedimiento. Solicitud, respuesta, entorno y tres diccionarios disponibles donde puede modificar datos de sesión/paquete.

    Línea #2 Línea de depuración para el script que se va a imprimir como seguimiento de nivel 2.

    Línea #3 Contenido del atributo NAS-IP-Address en el diccionario de solicitudes antes de establecer este valor.

    Línea #4 Establezca el atributo Nas-IP-Address en el diccionario de solicitudes en el valor 1.2.3.4.

    Línea #5: Vuelva a imprimir el atributo de dirección IP del NAS.

    Una vez creado y guardado el script en el sistema operativo, configure la referencia CPAR al script. Establezca el idioma como TCL, el nombre de archivo debe ser el nombre de archivo exacto con la extensión (en este caso es nadip.tcl). EntryPoint es el nombre del procedimiento del archivo que desea ejecutar como secuencia de comandos. Referencia creada script CPAR en servicio (incomingScript) y prueba con radclient.

    Las líneas #2, #3, #5 se pueden observar en el rastro:

    --> ls -R /Radius/scripts/nadipaddress/

[ /Radius/Scripts/nadipaddress ]
    Name = nadipaddress
    Description =
    Language = tcl             <<<<<<<<
    Filename = nadip.tcl       <<<<<<<<
    EntryPoint = UpdateNASIP   <<<<<<<<
    InitEntryPoint =
    InitEntryPointArgs =

--> ls -R /Radius/services/employee-service/

[ /Radius/Services/employee-service ]
    Name = employee-service
    Description =
    Type = local
    IncomingScript~ = nadipaddress    <<<<<<<<
    OutgoingScript~ =
    OutagePolicy~ = RejectAll
    OutageScript~ =
    UserList = default
    EnableDeviceAccess = FALSE
    DefaultDeviceAccessAction~ = DenyAll

    Seguimiento:

    07/31/2019 13:40:53.615: P3490: Running Service employee-service's IncomingScript: nadipaddress
07/31/2019 13:40:53.615: P3490: TCL CUSTOM_SCRIPT Updating NAS IP ADDRESS
07/31/2019 13:40:53.616: P3490:     Tcl: request trace 2 TCL CUSTOM_SCRIPT Updating NAS IP ADDRESS -> OK
07/31/2019 13:40:53.616: P3490:     Tcl: request get NAS-IP-Address -> <empty>
07/31/2019 13:40:53.616: P3490: Before put:
07/31/2019 13:40:53.616: P3490:     Tcl: request trace 2 Before put:   -> OK
07/31/2019 13:40:53.616: P3490:     Tcl: request put NAS-IP-Address 1.2.3.4 -> OK
07/31/2019 13:40:53.616: P3490:     Tcl: request get NAS-IP-Address -> 1.2.3.4
07/31/2019 13:40:53.616: P3490: After put: 1.2.3.4
07/31/2019 13:40:53.616: P3490:     Tcl: request trace 2 After put:  1.2.3.4 -> OK

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    11-Sep-2019
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Farid Yusifov
      Cisco TAC Engineer
    • Piotr Borowiec
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco