Aangepaste scripts op CPAR 8.0 configureren
Downloadopties
Inclusief taalgebruik
De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Over deze vertaling
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Inhoud
Inleiding
Dit document beschrijft hoe u Cisco Prime Access Registrar (CPAR) 8.0-gedrag kunt aanpassen met behulp van scripts en extensiepunten.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- CPAR 8.0 toediening
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- CPAR 8.0 geïnstalleerd op CentOS 6.5 64-bits
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Achtergrondinformatie
CPAR kan aangepast worden door zowel interne als externe scripts. De scripts kunnen worden geschreven in C/C++/Java/TCL. De handleidingen kunnen worden gebruikt om de verwerking van de pakketten RADIUS, TACACS en DIAMETER aan te passen. De scripts kunnen in CPAR in extensiepunten worden genoemd. Extension points is een instelling/eigenschap die wordt weergegeven onder bepaalde configuratieelementen en die een script kan verwijzen. Volgens referentie gids is CPAR niet verantwoordelijk voor gegevensverlies, schade, etc. veroorzaakt door aangepaste scripts.
Hier is een voorbeeld van twee verlengingspunten onder de configuratie van het netwerkapparaat
[ //localhost/Radius/Clients/piborowi ]
Name = piborowi
Description =
Protocol = tacacs-and-radius
IPAddress = 192.168.255.15
SharedSecret = <encrypted>
Type = NAS
Vendor =
IncomingScript~ = // Extension point for incomming traffic
OutgoingScript~ = // Extension point for outgoing traffic
EnableDynamicAuthorization = FALSE
NetMask =
EnableNotifications = FALSE
EnforceTrafficThrottling = TRUE
Volgens de CPAR toedieningsgids zijn er meerdere beschikbare verlengingspunten. Een inkomend script kan worden gebruikt op elk van deze extensiepunten.
- RADIUS-server
- Verkopers (van de onmiddellijke client)
- Cliënt (afzonderlijke NAS)
- NAS-verkoper achter-de-proxy
- Clientachter-de-proxy
- Remote Server (van type RADIUS)
- Service
Een authenticatie- of autorisatiemanager kan op elk van deze extensiepunten worden vermeld:
- Groepsverificatie
- Gebruikersverificatie
- groepsautorisatie
- Gebruikersautorisatie
Het uitgaande script kan op elk van deze extensiepunten worden vermeld:
- Service
- Clientachter-de-proxy
- NAS-verkoper achter-de-proxy
- Cliënt (afzonderlijke NAS)
- NAS-verkoper
- RADIUS-server
Het is van cruciaal belang de volgorde te begrijpen waarin scripts worden uitgevoerd door CPAR omdat er meerdere extensiepunten zijn. Raadpleeg tabel 7-1 van de beheerdershandleiding om de volgorde van 29 beschikbare scripting/extensiepunten te zien.
Een intern script is een script dat direct is ingesteld in CPAR CLI (aregcmd). Er zijn geen externe bestanden en veel programmeerkennis voor nodig. Een extern script is een script dat opgeslagen is in een bestand in een besturingssysteem (CENTOS of RHEL) en dat net is vermeld in CPAR CLI.
Configureren
Interne scripts voor uitgaande verkeer
In interne scripts kunt u deze modificatoren gebruiken:
1. +rsp: - voegt de reactie toe en wijst deze toe
2. -rsp: - verwijdert eigenschap van respons
3. #rsp: - eigenschap door nieuwe waarde vervangen
4. U kunt het bovenstaande gebruiken voor req (aanvragen/samenvoegen van pakketjes en env, dat een omgevingswoordenboek is). Voorbeelden +req: of -env:
Voeg een intern script toe onder /Radius/scripts. Configureer twee extra AVP die met het pakket Access-Accept moeten worden teruggegeven: Filter-ID en leverancierspecifieke (om zich aan te sluiten bij stemdomein).
--> ls -R
[ //localhost/Radius/Scripts/addattr ]
Name = addattr
Description =
Language = internal
Statements/
1. +rsp:Filter-Id=PhoneACL
2. +rsp:Cisco-AVPair=device-traffic-class=voice
--> ls -R
[ Services/local-users ]
Name = local-users
Description =
Type = local
IncomingScript~ =
OutgoingScript~ = addattr
OutagePolicy~ = RejectAll
OutageScript~ =
UserList = Default
EnableDeviceAccess = True
DefaultDeviceAccessAction~ = DenyAll
DeviceAccessRules/
1. switches
Test met het gebruik van een lokale radioclient:
--> simple
p011
--> p011 send
p014
--> p014
Packet: code = Access-Accept, id = 18, length = 64, attributes =
Filter-Id = PhoneACL
Cisco-AVPair = device-traffic-class=voice
Traces:
07/31/2019 10:31:26.254: P2363: Running Service local-users's OutgoingScript: addattr 07/31/2019 10:31:26.254: P2363: Internal Script for 1 +rsp:Filter-Id=PhoneACL : Filter-Id = PhoneACL 07/31/2019 10:31:26.254: P2363: Setting value PhoneACL for attribute Filter-Id 07/31/2019 10:31:26.254: P2363: Trace of Response Dictionary 07/31/2019 10:31:26.254: P2363: Trace of Access-Request packet 07/31/2019 10:31:26.254: P2363: identifier = 18 07/31/2019 10:31:26.254: P2363: length = 30 07/31/2019 10:31:26.254: P2363: respauth = fb:63:14:3f:c1:fb:ac:03:7d:16:29:61:ba:ef:13:4f 07/31/2019 10:31:26.254: P2363: Filter-Id = PhoneACL 07/31/2019 10:31:26.254: P2363: Internal Script for 2 +rsp:Cisco-AVPair=device-traffic-class=voice : Cisco-AVPair = device-traffic-class=voice 07/31/2019 10:31:26.254: P2363: Setting value device-traffic-class=voice for attribute Cisco-AVPair 07/31/2019 10:31:26.254: P2363: Trace of Response Dictionary 07/31/2019 10:31:26.254: P2363: Trace of Access-Request packet 07/31/2019 10:31:26.254: P2363: identifier = 18 07/31/2019 10:31:26.254: P2363: length = 64 07/31/2019 10:31:26.254: P2363: respauth = fb:63:14:3f:c1:fb:ac:03:7d:16:29:61:ba:ef:13:4f 07/31/2019 10:31:26.254: P2363: Filter-Id = PhoneACL 07/31/2019 10:31:26.254: P2363: Cisco-AVPair = device-traffic-class=voice
Interne scripts voor inkomend verkeer
Maak een nieuw script dat alle gebruikersnamen in formaat user@domain vervangt en gebruik dit als samengevoegd script voor de service die u gebruikt.
Configureren:
--> cd /Radius/Scripts
--> add test
--> set language internal
--> cd Statements
--> add 1
--> cd 1
--> set statements "#req:User-Name=~(.*)(@[a-z]+.[a-z]+)~\anonymous"
--> ls -R [ //localhost/Radius/Scripts/test ] Name = test Description = Language = internal Statements/ 1. #env:User-Name=~(.*)~anonymous --> ls -R /Radius/Services/employee-service/ [ /Radius/Services/employee-service ] Name = employee-service Description = Type = local IncomingScript~ = test OutgoingScript~ = OutagePolicy~ = RejectAll OutageScript~ = UserList = default EnableDeviceAccess = FALSE DefaultDeviceAccessAction~ = DenyAll
Test met radclient (verzoek wordt waarschijnlijk afgewezen omdat de gebruikersnaam is veranderd in anoniem):
--> simple
@cisco.com
p01e
--> p01e
Packet: code = Access-Request, id = 27, length = 72, attributes =
User-Name = <username>@cisco.com
User-Password = <password>
NAS-Identifier = localhost
NAS-Port = 7
--> p01e send
p020
--> p020
Packet: code = Access-Reject, id = 27, length = 35, attributes =
Reply-Message = Access Denied
Overtrekken:
Voordat de medewerkster-dienst wordt uitgevoerd, worden er drie scripts gevraagd. Eerst CPAR roept CiscoInkomendScript op, dan maakt het gebruik van ParseServiceHints die aan de lokale configuratie van de client/het apparaat van het netwerk zijn verbonden. Hiermee wordt de gebruikersnaam uit het pakket geëxtraheerd en in het omgevingswoordenboek geplaatst. Tweede script, test wordt gebruikt en gebruikersnaam in omgevingswoordenboek wordt veranderd van <gebruikersnaam> in anoniem
localhost-client:
[ //localhost/Radius/Clients/localhost ]
Name = localhost
Description =
Protocol = radius
IPAddress = 127.0.0.1
SharedSecret = <encrypted>
Type = NAS+Proxy
Vendor = Cisco
IncomingScript~ = ParseServiceHints
OutgoingScript~ =
EnableDynamicAuthorization = FALSE
NetMask =
EnableNotifications = FALSE
EnforceTrafficThrottling = TRUE
Uitvoer overtrekken:
07/31/2019 11:38:53.522: P2855: PolicyEngine: [SelectPolicy] Successful 07/31/2019 11:38:53.522: P2855: Using Client: localhost 07/31/2019 11:38:53.522: P2855: Using Vendor: Cisco 07/31/2019 11:38:53.522: P2855: Running Vendor Cisco's IncomingScript: CiscoIncomingScript 07/31/2019 11:38:53.522: P2855: Running Client localhost IncomingScript: ParseServiceHints 07/31/2019 11:38:53.522: P2855: Rex: environ->get( "Request-Type" ) -> "Access-Request" 07/31/2019 11:38:53.522: P2855: Rex: environ->get( "Request-Type" ) -> "Access-Request" 07/31/2019 11:38:53.522: P2855: Rex: environ->get( "User-Name" ) -> "<username>" 07/31/2019 11:38:53.522: P2855: Authenticating and Authorizing with Service employee-service 07/31/2019 11:38:53.522: P2855: Running Service employee-service's IncomingScript: test 07/31/2019 11:38:53.522: P2855: Numbered attribute got for the radius / tacacs packet. ignoring # User-Name 07/31/2019 11:38:53.523: P2855: Numbered attribute got for the radius / tacacs packet. ignoring # User-Name 07/31/2019 11:38:53.523: P2855: Numbered attribute got for the radius / tacacs packet. ignoring # User-Name 07/31/2019 11:38:53.523: P2855: Internal Script for 1 #env:User-Name=~(.*)~anonymous : User-Name = anonymous 07/31/2019 11:38:53.523: P2855: Setting value anonymous for attribute User-Name 07/31/2019 11:38:53.523: P2855: Trace of Environment Dictionary 07/31/2019 11:38:53.523: P2855: User-Name = anonymous 07/31/2019 11:38:53.523: P2855: NAS-Name-And-IPAddress = localhost (127.0.0.1) 07/31/2019 11:38:53.523: P2855: Authorization-Service = employee-service 07/31/2019 11:38:53.523: P2855: Source-Port = 51169 07/31/2019 11:38:53.523: P2855: Authentication-Service = employee-service 07/31/2019 11:38:53.523: P2855: Trace-Level = 1000 07/31/2019 11:38:53.523: P2855: Destination-Port = 1812 07/31/2019 11:38:53.523: P2855: Destination-IP-Address = 127.0.0.1 07/31/2019 11:38:53.523: P2855: Source-IP-Address = 127.0.0.1 07/31/2019 11:38:53.523: P2855: Enforce-Traffic-Throttling = TRUE 07/31/2019 11:38:53.523: P2855: Request-Type = Access-Request 07/31/2019 11:38:53.523: P2855: Script-Level = 6 07/31/2019 11:38:53.523: P2855: Provider-Identifier = Default 07/31/2019 11:38:53.523: P2855: Request-Authenticator = 5f:62:5a:72:0f:7b:a2:2a:9c:06:ba:2e:bd:f4:e4:4b 07/31/2019 11:38:53.523: P2855: Realm = cisco.com 07/31/2019 11:38:53.523: P2855: Getting User anonymous's UserRecord from UserList Default 07/31/2019 11:38:53.523: P2855: Failed to get User anonymous's UserRecord from UserList Default 07/31/2019 11:38:53.523: P2855: Running Vendor Cisco's OutgoingScript: CiscoOutgoingScript 07/31/2019 11:38:53.523: P2855: Trace of Access-Reject packet 07/31/2019 11:38:53.523: P2855: identifier = 27 07/31/2019 11:38:53.523: P2855: length = 35 07/31/2019 11:38:53.523: P2855: respauth = d3:7d:b3:f6:05:47:2c:66:d9:c0:01:7d:67:d7:93:99 07/31/2019 11:38:53.523: P2855: Reply-Message = Access Denied 07/31/2019 11:38:53.523: P2855: Sending response to 127.0.0.1
Externe scripts maken
Voeg een bestand nadip.tcl toe aan /opt/CSCOar/scripts/Straal/tcl/folder en voeg deze inhoud toe:
[root@piborowi-cpar80-16 tcl]# cat /opt/CSCOar/scripts/radius/tcl/nadip.tcl
proc UpdateNASIP {request response environ} {
$request trace 2 "TCL CUSTOM_SCRIPT Updating NAS IP ADDRESS"
$request trace 2 "Before put: " [ $request get NAS-IP-Address ]
$request put NAS-IP-Address 1.2.3.4
$request trace 2 "After put: " [ $request get NAS-IP-Address ]
}
Inhoud van nadip.tcl wordt per regel uitgelegd:
Lijn 1 Procedure definitie en argumenten Aanvragen, beantwoorden, environ en drie beschikbare woordenboeken waar u sessie-/pakketgegevens kunt wijzigen.
Line #2 Debug line voor script dat als overtrek niveau 2 wordt afgedrukt.
Line #3 Content van de eigenschap NAS-IP-Address in request-woordenboek voordat u deze waarde instelt.
Lijn #4 Stel de eigenschap Nas-IP-Adres in het gevraagde woordenboek in op waarde 1.2.3.4.
Line #5 Print NAS-IP-Address opnieuw.
Wanneer het script wordt aangemaakt en opgeslagen in het besturingssysteem, moet u CPAR-verwijzing naar het script configureren. Stel taal in als TCL, filename moet exacte bestandsnaam zijn met extensie (in dit geval is het nadip.tcl). EntryPoint is de naam van de procedure in het bestand die u als script wilt uitvoeren. Referentie creëerde CPAR-script onder service (inkomendScript) en test met radclient.
Lijnen #2, #3, #5 kunnen bij de tracering worden waargenomen:
--> ls -R /Radius/scripts/nadipaddress/
[ /Radius/Scripts/nadipaddress ]
Name = nadipaddress
Description =
Language = tcl <<<<<<<<
Filename = nadip.tcl <<<<<<<<
EntryPoint = UpdateNASIP <<<<<<<<
InitEntryPoint =
InitEntryPointArgs =
--> ls -R /Radius/services/employee-service/
[ /Radius/Services/employee-service ]
Name = employee-service
Description =
Type = local
IncomingScript~ = nadipaddress <<<<<<<<
OutgoingScript~ =
OutagePolicy~ = RejectAll
OutageScript~ =
UserList = default
EnableDeviceAccess = FALSE
DefaultDeviceAccessAction~ = DenyAll
Overtrekken:
07/31/2019 13:40:53.615: P3490: Running Service employee-service's IncomingScript: nadipaddress 07/31/2019 13:40:53.615: P3490: TCL CUSTOM_SCRIPT Updating NAS IP ADDRESS 07/31/2019 13:40:53.616: P3490: Tcl: request trace 2 TCL CUSTOM_SCRIPT Updating NAS IP ADDRESS -> OK 07/31/2019 13:40:53.616: P3490: Tcl: request get NAS-IP-Address -> <empty> 07/31/2019 13:40:53.616: P3490: Before put: 07/31/2019 13:40:53.616: P3490: Tcl: request trace 2 Before put: -> OK 07/31/2019 13:40:53.616: P3490: Tcl: request put NAS-IP-Address 1.2.3.4 -> OK 07/31/2019 13:40:53.616: P3490: Tcl: request get NAS-IP-Address -> 1.2.3.4 07/31/2019 13:40:53.616: P3490: After put: 1.2.3.4 07/31/2019 13:40:53.616: P3490: Tcl: request trace 2 After put: 1.2.3.4 -> OK
Bijgedragen door Cisco-engineers
- Farid YusifovCisco TAC-ingenieur
- Piotr BorowiecCisco TAC-ingenieur
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)