Ce document fournit des instructions sur la configuration de l'authentification RADIUS via le Cache Engine vers Cisco Secure Access Control Server (ACS) pour Microsoft Windows NT. Vous devez exécuter Web Cache Communication Protocol Version 2 (WCCPv2) pour suivre correctement cette procédure. Reportez-vous à Configuration du protocole de communication Web Cache version 2 sur un moteur et un routeur Cisco Cache Engine pour plus d'informations sur WCCP version 2.
Avant d'essayer cette configuration, assurez-vous de respecter les conditions suivantes :
Connaissance de Cisco Secure ACS pour Windows ou UNIX.
Connaissance de la configuration WCCPv2 sur le routeur et le moteur de cache.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Cisco Cache Engine 505 dans un environnement de laboratoire avec des configurations effacées
Routeur Cisco 2600
Logiciel Cisco Cache Engine version 2.31
Logiciel Cisco IOS® Version 12.1(3)T 3
Cisco Secure ACS pour serveurs Microsoft Windows NT/2000
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Ce document utilise la configuration réseau suivante :
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Utilisez ces étapes pour configurer le Cache Engine pour l'authentification RADIUS :
Configurez le Cache Engine en tant que serveur d'accès au réseau (NAS) dans Cisco Secure ACS pour Windows NT.
Configurez les informations utilisateur dans Cisco Secure ACS pour Windows NT.
Configurez le Cache Engine pour RADIUS et spécifiez l'hôte et les informations de clé.
radius-server host 172.18.124.106 radius-server key cisco123
Configurez le routeur pour WCCP.
Vos lignes de commande pour le Cache Engine doivent apparaître comme suit :
cepro#configure terminal !--- Enter configuration commands, one per line. !--- End with CNTL/Z. cepro(config)#radius-server host 172.18.124.106 cepro(config)#radius-server key cisco123 cepro#
Voici la configuration Cache Engine/NAS de Cisco Secure ACS pour Windows NT :
Voici la page User Setup de Cisco Secure ACS pour Windows NT :
Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.
Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.
Commandes Cache Engine :
show version : affiche la version du logiciel exécutée sur le Cache Engine.
show hardware : affiche la version du logiciel et le type de matériel sur le Cache Engine.
show running-config : affiche la configuration en cours réelle sur le Cache Engine.
show stat http usage : affiche les statistiques d'utilisation.
show radius stat [all | primaire | secondary ]—Affiche les statistiques d'authentification pour les serveurs RADIUS principal et secondaire.
Voici un exemple de sortie de commande de la commande show version :
cepro#show version Cisco Cache Engine Copyright (c) 1986-2001 by Cisco Systems, Inc. Software Release: CE ver 2.31 (Build: FCS 02/16/01) Compiled: 11:20:14 Feb 22 2001 by bbalagot Image text-base 0x108000, data_base 0x437534 System restarted by Reload The system has been up for 3 hours, 52 minutes, 33 seconds. System booted from "flash"
Voici un exemple de sortie de commande de la commande show hardware :
cepro#show hardware Cisco Cache Engine Copyright (c) 1986-2001 by Cisco Systems, Inc. Software Release: CE ver 2.31 (Build: FCS 02/16/01) Compiled: 11:20:14 Feb 22 2001 by bbalagot Image text-base 0x108000, data_base 0x437534 System restarted by Reload The system has been up for 3 hours, 52 minutes, 54 seconds. System booted from "flash" Cisco Cache Engine CE505 with CPU AMD-K6 (model 8) (rev. 12) AuthenticAMD 2 Ethernet/IEEE 802.3 interfaces 1 Console interface. 134213632 bytes of Physical Memory 131072 bytes of ROM memory. 8388608 bytes of flash memory. List of disk drives: /c0t0d0 (scsi bus 0, unit 0, lun 0)
Voici un exemple de sortie de commande de la commande show running-config :
cepro#show running-config Building configuration... Current configuration: ! ! logging recycle 64000 logging trap information ! user add admin uid 0 password 1 "eeSdy9dcy" capability admin-access ! ! ! hostname cepro ! interface ethernet 0 ip address 10.27.2.2 255.255.255.0 ip broadcast-address 10.27.2.255 exit ! ! interface ethernet 1 exit ! ip default-gateway 10.27.2.1 ip name-server 161.44.11.21 ip name-server 161.44.11.206 ip domain-name cisco.com ip route 0.0.0.0 0.0.0.0 10.27.2.1 cron file /local/etc/crontab ! bypass timer 1 !--- Specify the router list for use with WCCPv2. wccp router-list 1 10.27.2.1 172.18.124.211 !--- Instruct the router to run web cache service with WCCPv2. wccp web-cache router-list-num 1 !--- WCCPv2 enabled. wccp version 2 ! !--- RADIUS Server host and port is defined. radius-server host 172.18.124.106 auth-port 1645 radius-server host 172.18.124.103 auth-port 1645 !--- RADIUS key defined. radius-server key **** authentication login local enable authentication configuration local enable transaction-logs enable rule no-cache url-regex .*cgi-bin.* rule no-cache url-regex .*aw-cgi.* ! ! end cepro#
Commandes du routeur :
show running-config : affiche la configuration en cours réelle sur le routeur.
show ip wccp : affiche tous les services enregistrés.
show ip wccp <service-id> detail : affiche la distribution du compartiment WCCP pour chaque cache du cluster. Par exemple, show ip wccp web-cache detail.
Voici un exemple de sortie de commande de la commande show running-config :
33-ns-gateway#show running-config Building configuration... Current configuration: ! version 12.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname 33-Ns-gateway ! logging buffered 64000 debugging enable secret 5 $1$IWJr$nI.NcIr/b9DN7jEQQC17R/ ! ! ! ! ! ip subnet-zero !--- WCCP enabled. ip wccp web-cache ip cef no ip domain-lookup ip domain-name testdomain.com ip name-server 161.44.11.21 ip name-server 161.44.11.206 ! ! ! ! interface Ethernet0/0 ip address 10.1.3.50 255.255.255.0 no ip route-cache cef ! interface Ethernet1/0 description interface to the CE .5 bandwidth 100 ip address 10.27.2.1 255.255.255.0 full-duplex ! interface Ethernet1/1 description inter to DMZ ip address 172.18.124.211 255.255.255.0 !--- Configure the interface to enable the router !--- to verify that the appropriate !--- packets are redirected to the cache engine. ip wccp web-cache redirect out no ip route-cache cef no ip route-cache no ip mroute-cache ! interface Ethernet1/2 description Preconfigured for recreates 10.27.3.0/24 net ip address 10.27.3.1 255.255.255.0 no ip route-cache cef ! interface Ethernet1/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 172.18.124.1 no ip http server ! ! line con 0 exec-timeout 0 0 transport input none line aux 0 exec-timeout 0 0 line vty 0 4 exec-timeout 0 0 password ww login ! end 33-Ns-gateway#
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.
Note : Avant d'émettre des commandes debug, consultez Informations importantes sur les commandes de débogage.
Commandes Cache Engine :
debug authentication all all : débogue l'authentification.
debug radius all all - Affiche le débogage du module RADIUS de l'interface Web.
type var/log/translog/working.log : vérifie que les URL sont mises en cache et que l'utilisateur accède aux pages. Tout autre type de message doit être renvoyé à l'assistance technique de Cisco pour obtenir des éclaircissements. Le type de messages d'erreur le plus courant dans ce journal est l'authentification a échoué en raison d'un utilisateur inconnu, ou de la clé de serveur incorrecte.
Voici un exemple de sortie de commande de la commande debug radius all et de l'authentification debug all all commandes :
RadiusCheck(): Begin RadiusCheck(): Begin RadiusCheck(): Begin RadiusBuildRequest(): Begin RadiusBuildRequest(): Begin RadiusBuildRequest(): Begin [82] User-Name = "chbanks" [82] User-Name = "chbanks" [82] User-Name = "chbanks" [82] NAS-IP-Address = 10.27.2.2 [82] NAS-IP-Address = 10.27.2.2 [82] NAS-IP-Address = 10.27.2.2 [82] NAS-Port = 80 [82] NAS-Port = 80 [82] NAS-Port = 80 RadiusAuthenticate(): Begin RadiusAuthenticate(): Begin RadiusAuthenticate(): Begin CfgGetRadiusInfo(): Begin CfgGetRadiusInfo(): Begin CfgGetRadiusInfo(): Begin UpdatePassword(): Begin UpdatePassword(): Begin UpdatePassword(): Begin [82] radsend: Request to 172.18.124.106 id=1, length=171 [82] radsend: Request to 172.18.124.106 id=1, length=171 [82] radsend: Request to 172.18.124.106 id=1, length=171 RadiusReplyValidate(): Begin RadiusReplyValidate(): Begin RadiusReplyValidate(): Begin RadiusReplyValidate(): [82] Received 26 byte message back RadiusReplyValidate(): [82] Received 26 byte message back RadiusReplyValidate(): [82] Received 26 byte message back RadiusReplyValidate(): Got a valid response from server 172.18.124.106. RadiusReplyValidate(): Got a valid response from server 172.18.124.106. RadiusReplyValidate(): Got a valid response from server 172.18.124.106. DecodeReply(): Begin DecodeReply(): Begin DecodeReply(): Begin DecodeReply: WEB_YES_BLOCKING default DecodeReply: WEB_YES_BLOCKING default DecodeReply: WEB_YES_BLOCKING default RadiusCheck(): WEB_YES_BLOCKING RadiusCheck(): WEB_YES_BLOCKING RadiusCheck(): WEB_YES_BLOCKING RemoteUserAdd(): Begin RemoteUserAdd(): Begin RemoteUserAdd(): Begin RemoteUserAdd(): Updated remote user chbanks RemoteUserAdd(): Updated remote user chbanks RemoteUserAdd(): Updated remote user chbanks RemoteUserAuthenticate(): Begin RemoteUserAuthenticate(): Begin RemoteUserAuthenticate(): Begin CfgGetRadiusInfo(): Begin CfgGetRadiusInfo(): Begin CfgGetRadiusInfo(): Begin CfgRadiusGetExcludeState(): Begin CfgRadiusGetExcludeState(): Begin CfgRadiusGetExcludeState(): Begin CfgRadiusGetExcludeState(): flag = 0 CfgRadiusGetExcludeState(): flag = 0 CfgRadiusGetExcludeState(): flag = 0 RemoteUserUpdate(): Begin RemoteUserUpdate(): Begin RemoteUserUpdate(): Begin CfgRadiusGetMultipleUserPromptState(): Begin CfgRadiusGetMultipleUserPromptState(): Begin CfgRadiusGetMultipleUserPromptState(): Begin CfgRadiusGetMultipleUserPromptState(): flag = 1 CfgRadiusGetMultipleUserPromptState(): flag = 1 CfgRadiusGetMultipleUserPromptState(): flag = 1 CfgRadiusGetMultipleUserPromptTimeout(): Begin CfgRadiusGetMultipleUserPromptTimeout(): Begin CfgRadiusGetMultipleUserPromptTimeout(): Begin CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25 CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25 CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25 fsgetUsrInfoforIpAddr_radius will be called fsgetUsrInfoforIpAddr_radius will be called fsgetUsrInfoforIpAddr_radius will be called RemoteUserUpdate() returned true RemoteUserUpdate() returned true RemoteUserUpdate() returned true
Commande du routeur :
show ip wccp : affiche les statistiques WCCP globales.