Configuration de l'authentification LDAP avec Cisco Cache Engine et versions ultérieures

Transcription

1 Configuration de l'authentification LDAP avec Cisco Cache Engine et versions ultérieures Contenu Introduction Conditions préalables Conditions requises Composants utilisés Conventions Informations générales Configurez Configuration Vérifiez Dépannez Dépannage des commandes Informations connexes Introduction Ce document fournit une configuration d'échantillon pour un moteur de cache de Cisco. La configuration permet au moteur de cache d'exécuter une recherche de base de données standard de Protocole LDAP (Lightweight Directory Access Protocol) pour permettre ou limiter l'accès client aux ressources web. Pour plus d'informations sur n'importe quelle caractéristique que ce document passe en revue, voyez la section «de l'information relative». Conditions préalables Conditions requises Aucune spécification déterminée n'est requise pour ce document. Composants utilisés Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : Moteur de cache de gamme Cisco 500 qui exécute la version de logiciel de Logiciel de cache Cisco ou plus tard Serveur de Netscape Directory (LDAP) et serveur d'openldap Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande. Conventions Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco. Informations générales Le LDAP a été inventé pour préserver les meilleures qualités que les offres X.500 mais réduisent les frais d'administration. Le LDAP fournit un Directory Access Protocol ouvert qui exécute plus de le TCP/IP. Le LDAP retient le modèle de données X.500. Le protocole est extensible à une taille globale et aux millions d'entr ées pour un investissement modeste en matériel et infrastructure réseau. Le résultat est une solution globale de répertoire qui est si abordable que les petits organismes puissent l'utiliser, mais elle peut également être mesurée pour prendre en charge le plus grand d'enterprises. ï ½ Une engine LDAP-activée de moteur de cache/contenu (CE) authentifie des utilisateurs avec un serveur LDAP. Avec une requête de HTTP, le CE obtient un ensemble de qualifications de l'utilisateur, qui inclut l'user-id et le mot de passe. Le CE compare alors les qualifications aux qualifications dans un serveur LDAP. Quand le CE authentifie un utilisateur par le serveur LDAP, le CE enregistre un enregistrement de cette

2 authentification localement dans la RAM de la CE, dans le cache d'authentification. Tant que le CE garde l'entrée d'authentification, les tentatives ultérieures par cet utilisateur d'accéder au contenu Internet restreint n'exigent pas des consultations de serveur LDAP. La période de délai par défaut pour la conservation de l'entrée d'authentification est de 480 minutes. Le minimum est de 30 minutes, et le maximum est de 1440 minutes, ou de 24 heures. Cet intervalle est le temps entre le dernier accès Internet par l'utilisateur et la suppression de l'entrée d'utilisateur du cache d'autorisation. La suppression force la réauthentification avec le serveur LDAP. L'authentification LDAP de supports de moteur de cache pour le mode proxy et transparent, ou Web Cache Communication Protocol (WCCP), accès de mode. Dans le mode proxy, le CE utilise l'user-id de client comme clé pour la base de données d'authentification. Tandis qu'en mode transparent, le CE utilise l'adresse IP de client comme clé pour la base de données d'authentification. Le CE l'utilise authentification simple et nonencrypted pour communiquer avec le serveur LDAP. Configurez Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document. Remarque: Pour obtenir des informations supplémentaires sur les commandes utilisées dans ce document, utilisez l'outil de recherche de commande (clients enregistrés seulement). Configuration Ce document utilise la configuration suivante : Moteur de cache 550 (version de logiciel de Logiciel de cache Cisco 2.5.1) de Cisco hostname dioxin interface ethernet 0 ï ½ ip address ï ½ ip broadcast-address ï ½ bandwidth 10 ï ½ halfduplex ï ½ exit interface ethernet 1 ï ½ exit ip default-gateway ip name-server ip domain-name cisco.com ip route cron file /local/etc/crontab lock timezone CET -7 0 no bypass load enable http proxy incoming 8080 wccp router-list wccp port-list wccp web-cache router-list-num 1 wccp version 2 no wccp slow-start enable authentication login local enable authentication configuration local enable --- Specify the LDAP server IP address and TCP port number. ldap server host port This is the base Distinguished Name (DN) of the start point --- for the search in the LDAP database. ï ½ ldap server base dc=cisco, dc=comï ½ --- This is the DN of the admin user. ï ½ ldap server administrative-dn uid=admin, ou=special users, dc=cisco, dc=comï ½ --- This is the password for the admin user. ï ½ ldap server administrative-passwd ****ï ½ proxy-protocols transparent original-proxy rule no-cache url-regex.*cgi-bin.* rule no-cache url-regex.*aw-cgi.* end

3 Vérifiez Aucune procédure de vérification n'est disponible pour cette configuration. Dépannez Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. Dépannage des commandes Certaines commandes show sont prises en charge par l'output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show. Remarque: Avant d'émettre des commandes de débogage, référez-vous aux informations importantes sur des commandes de debug. mettez au point le suivi d'en-tête de https Te permet pour visualiser et dépanner la demande que le CE reçoit. mettez au point l'authcache de LDAP te permet entièrement pour visualiser et dépanner la procédure d'authentification. mettez au point le serveur de LDAP se connectent Te permet pour visualiser et dépanner la transmission de LDAP avec le serveur. mettez au point le suivi de serveur de LDAP T'affiche comment le CE envoie des requêtes au serveur LDAP. mettez au point la demande de serveur de LDAP/la recevez serveur de show ldap Affiche la configuration de serveur LDAP. authcache de show ldap Affiche la liste d'utilisateurs authentifiés. mettez au point le suivi d'en-tête de https C'est la demande d' obtenir qui provient le client. dioxin# --- These are the HTTP request headers that come from the client. GET HTTP/1.0 If-Modified-Since: Wed, 01 Mar :37:44 GMT; length=2511 Proxy-Connection: Keep-Alive User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U) Pragma: no-cache Host: missile.cisco.com Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */* Accept-Encoding: gzip Accept-Language: en Accept-Charset: iso ,*,utf-8 Proxy-authorization: Basic YW1pa3VzOnd3 C'est la demande qui est expédiée au serveur d'origine après authentification de l'utilisateur. Http request headers sent to server: GET / HTTP/1.0 User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U) Pragma: no-cache Host: missile.cisco.com Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */* Accept-Language: en Accept-Charset: iso ,*,utf-8 If-Modified-Since: Wed, 01 Mar :37:44 GMT; length=2511 Connection: keep-alive Via: 1.0 dioxin X-Forwarded-For: This is the response that is received from the origin server. Http response headers received from server: HTTP/ Not Modified Date: Mon, 03 Sep :55:22 GMT Server: Apache/ (Unix)ï ½(Red Hat/Linux) PHP/ mod_perl/1.21 Connection: Keep-Alive Keep-Alive: timeout=15, max=100 ETag: "66-9cf-38bd6378" C'est la réponse qui est expédiée au client qui fait la demande : Http response headers sent to client: HTTP/ Not Modified

4 Date: Mon, 03 Sep :55:22 GMT Server: Apache/ (Unix)ï ½(Red Hat/Linux) PHP/ mod_perl/1.21 Keep-Alive: timeout=15, max=100 ETag: "66-9cf-38bd6378" Proxy-Connection: keep-alive mettez au point l'authcache tout de LDAP C'est le débogage qui affiche au premier paquet de demandes cette authentification LDAP de déclencheurs. dioxin#acdaemon: running; 95% = % = 3400 ACDaemon: Comparing 1904 > ACDaemon: freed 0 entries --- The CE sends an authentication-required header to the client. ACEntry: sending 407 to user - reason 104 ACEntry: Proxy Mode, no REQ_FLAGS_PROXY_AUTH flag --- The authentication is successful and there is --- an addition of the entry to the authentication cache. ACEntry: added entry at key Subsequent requests from the same client go through --- in the way that the CE has them in the authentication cache. ACEntry: AuthCache Hitï ½ ACEntry: AuthCache Hit ACEntry: AuthCache Hit ACEntry: AuthCache Hit mettez au point le serveur de LDAP se connectent Ce suivi affiche la transmission de la CE avec le serveur LDAP : attempt to connect host at later time-serv=1,thread=0 attempt to connect host at later time-serv=1,thread=1 attempt to connect host at later time-serv=1,thread=2 attempt to connect host at later time-serv=1,thread=3 attempt to connect host at later time-serv=1,thread=4 ldap_open_server_on_timer--thread=4e8ac0,magic=dededada,server=1,thread_ind=0 ldap_open_server_on_timer--thread=4e8b20,magic=dededada,server=1,thread_ind=1 ldap_open_server_on_timer--thread=4e8b80,magic=dededada,server=1,thread_ind=2 ldap_open_server_on_timer--thread=4e8be0,magic=dededada,server=1,thread_ind=3 ldap_open_server_on_timer--thread=4e8c40,magic=dededada,server=1,thread_ind=4 ldap_open_server -server/thread = 1 / 0 ldap_open_server --thread=4e8ac0,magic=dededada,server=1,thread_ind=0 ldap found already initialized ld aa55a00 ldap_open_server -server/thread = 1 / 1 ldap_open_server --thread=4e8b20,magic=dededada,server=1,thread_ind=1 ldap found already initialized ld aa55600 ldap_open_server -server/thread = 1 / 2 ldap_open_server --thread=4e8b80,magic=dededada,server=1,thread_ind=2 ldap found already initialized ld ff9e800 ldap_open_server -server/thread = 1 / 3 ldap_open_server --thread=4e8be0,magic=dededada,server=1,thread_ind=3 ldap found already initialized ld aa55e00 ldap_open_server -server/thread = 1 / 4 ldap_open_server --thread=4e8c40,magic=dededada,server=1,thread_ind=4 ldap found already initialized ld aa55400

5 mettez au point le suivi de serveur de LDAP cfg_ldap_serv_host_cmd(): Begin sd 672 connected to: sd 673 connected to: sd 674 connected to: sd 675 connected to: sd 676 connected to: mettez au point la demande de serveur de LDAP/la recevez C'est un suivi témoin d'un réussi mettent au point la demande de serveur de LDAP/reçoivent la recherche : ldap_ce_search_wrap - begin ldap_ce_search_wrap - result 0 for uid smarsill ldap_ce_search - uid = smarsill, time = ldap_user_auth - uid = smarsill Ldap Mgmt Auth Bind ldap Admin dn=4e85cd ldap_user_auth - mgmt bind result = 0 Ldap Bind - user smarsill Search result = 0, ffa1f80 ldap_first_entry = ffa1f80 ldap dn=uid=smarsill,ou=tac-bru,dc=cisco,dc=com Ldap Bind Success ldap_ce_search - authentication succeeded - uid = smarsill, time= serveur de show ldap dioxin# show ldap server show_ldap_serv_cmd(): Begin LDAP Configuration: LDAP Authentication is on ï ½ï ½ï ½ Timeoutï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ = 5 seconds ï ½ï ½ï ½ AuthTimeoutï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ = 480 minutes ï ½ï ½ï ½ Retransmitï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ = 3ï ½ ï ½ï ½ï ½ UserID-Attributeï ½ï ½ï ½ï ½ï ½ï ½ï ½ = uidï ½ ï ½ï ½ï ½ Filterï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ =ï ½ï ½ ï ½ï ½ï ½ Base DNï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ = "dc=cisco, dc=com"

6 ï ½ï ½ï ½ Administrative DNï ½ï ½ï ½ï ½ï ½ï ½ = "uid=admin, ou=special users, dc=cisco, dc=com" ï ½ï ½ï ½ Administrative Password = ****ï ½ ï ½ï ½ï ½ AllowModeï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ = DISABLEDï ½ ï ½ï ½ï ½ ï ½ï ½ï ½ Servers ï ½ï ½ï ½ ï ½ï ½ï ½ï ½ show_ldap_serv_cmd(): End ï ½ï ½ï ½ IP , Port = 389, State: ENABLED authcache de show ldap dioxin# show ldap authcache ï ½ï ½ï ½ï ½ï ½ AuthCache ===================== hashï ½1700 : uid: amikus nbkt: 0x0 nlru: 0x0 plru: 0xb889c00 ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ lacc: ipaddr: d8f111ac keytp: 1 hashï ½1961 : uid: smarsill nbkt: 0x0 nlru: 0xb889bc0 plru: 0x0 ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ï ½ lacc: ipaddr: c003fe90 keytp: 1 Informations connexes Exemples et notes techniques de configuration Cisco Systems Inc. Tous droits réservés. Date du fichier PDF généré: 17 décembre