Configuration de l'authentification RADIUS à l'aide de Cisco Cache Engine

Options de téléchargement

  • PDF     (255.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (194.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (422.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:3 août 2004
ID du document:15041

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document fournit des instructions sur la configuration de l'authentification RADIUS via le Cache Engine vers Cisco Secure Access Control Server (ACS) pour Microsoft Windows NT. Vous devez exécuter Web Cache Communication Protocol Version 2 (WCCPv2) pour suivre correctement cette procédure. Reportez-vous à Configuration du protocole de communication Web Cache version 2 sur un moteur et un routeur Cisco Cache Engine pour plus d'informations sur WCCP version 2.

Conditions préalables

Conditions requises

Avant d'essayer cette configuration, assurez-vous de respecter les conditions suivantes :

  • Connaissance de Cisco Secure ACS pour Windows ou UNIX.

  • Connaissance de la configuration WCCPv2 sur le routeur et le moteur de cache.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco Cache Engine 505 dans un environnement de laboratoire avec des configurations effacées

  • Routeur Cisco 2600

  • Logiciel Cisco Cache Engine version 2.31

  • Logiciel Cisco IOS® Version 12.1(3)T 3

  • Cisco Secure ACS pour serveurs Microsoft Windows NT/2000

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

radius_ce-01.gif

Conventions

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Configuration de l'authentification RADIUS via la procédure Cache Engine

Utilisez ces étapes pour configurer le Cache Engine pour l'authentification RADIUS :

  1. Configurez le Cache Engine en tant que serveur d'accès au réseau (NAS) dans Cisco Secure ACS pour Windows NT.

  2. Configurez les informations utilisateur dans Cisco Secure ACS pour Windows NT.

  3. Configurez le Cache Engine pour RADIUS et spécifiez l'hôte et les informations de clé. 

    radius-server host 172.18.124.106
 radius-server key cisco123

  4. Configurez le routeur pour WCCP.

    Vos lignes de commande pour le Cache Engine doivent apparaître comme suit : 

    cepro#configure terminal 

!--- Enter configuration commands, one per line. !--- End with CNTL/Z. 

cepro(config)#radius-server host 172.18.124.106 
cepro(config)#radius-server key cisco123 
cepro#

Voici la configuration Cache Engine/NAS de Cisco Secure ACS pour Windows NT :

radius_ce-02.gif

Voici la page User Setup de Cisco Secure ACS pour Windows NT :

radius_ce-03.gif

radius_ce-04.gif

Vérification

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

Commandes Cache Engine :

  • show version : affiche la version du logiciel exécutée sur le Cache Engine.

  • show hardware : affiche la version du logiciel et le type de matériel sur le Cache Engine.

  • show running-config : affiche la configuration en cours réelle sur le Cache Engine.

  • show stat http usage : affiche les statistiques d'utilisation.

  • show radius stat [all | primaire | secondary ]—Affiche les statistiques d'authentification pour les serveurs RADIUS principal et secondaire.

Voici un exemple de sortie de commande de la commande show version :

cepro#show version
Cisco Cache Engine
Copyright (c) 1986-2001 by Cisco Systems, Inc.
Software Release: CE ver 2.31 (Build: FCS  02/16/01)
Compiled: 11:20:14 Feb 22 2001 by bbalagot
Image text-base 0x108000, data_base 0x437534
 
System restarted by Reload
The system has been up for 3 hours, 52 minutes, 33 seconds.
System booted from "flash"

Voici un exemple de sortie de commande de la commande show hardware :

cepro#show hardware
Cisco Cache Engine
Copyright (c) 1986-2001 by Cisco Systems, Inc.
Software Release: CE ver 2.31 (Build: FCS  02/16/01)
Compiled: 11:20:14 Feb 22 2001 by bbalagot
Image text-base 0x108000, data_base 0x437534
 
System restarted by Reload
The system has been up for 3 hours, 52 minutes, 54 seconds.
System booted from "flash"
 
 
Cisco Cache Engine CE505 with CPU AMD-K6 (model 8) (rev. 12) AuthenticAMD
2 Ethernet/IEEE 802.3 interfaces
1 Console interface.
134213632 bytes of Physical Memory
131072 bytes of ROM memory.
8388608 bytes of flash memory.
 
List of disk drives:
 /c0t0d0  (scsi bus 0, unit 0, lun 0)

Voici un exemple de sortie de commande de la commande show running-config :

cepro#show running-config
Building configuration...
Current configuration:
!
!
logging recycle 64000
logging trap information
!
user add admin uid 0  password 1 "eeSdy9dcy"  capability admin-access
!
!
!
hostname cepro
!
interface ethernet 0
 ip address 10.27.2.2 255.255.255.0
 ip broadcast-address 10.27.2.255
exit
!
!
interface ethernet 1
exit
!
ip default-gateway 10.27.2.1
ip name-server 161.44.11.21
ip name-server 161.44.11.206
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 10.27.2.1
cron file /local/etc/crontab
!
bypass timer 1

!--- Specify the router list for use with WCCPv2.

wccp router-list 1 10.27.2.1 172.18.124.211

 !--- Instruct the router to run web cache service with WCCPv2.

wccp web-cache router-list-num 1

 !--- WCCPv2 enabled.

wccp version 2
!
 !--- RADIUS Server host and port is defined.

radius-server host 172.18.124.106 auth-port 1645
radius-server host 172.18.124.103 auth-port 1645

!--- RADIUS key defined.

radius-server key ****
authentication login local enable
authentication configuration local enable
transaction-logs enable
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
!
!
end
cepro#

Commandes du routeur :

  • show running-config : affiche la configuration en cours réelle sur le routeur.

  • show ip wccp : affiche tous les services enregistrés.

  • show ip wccp <service-id> detail : affiche la distribution du compartiment WCCP pour chaque cache du cluster. Par exemple, show ip wccp web-cache detail.

Voici un exemple de sortie de commande de la commande show running-config :

33-ns-gateway#show running-config
Building configuration...
      Current configuration:
        !
        version 12.1
        service timestamps debug datetime msec
        service timestamps log datetime msec
        no service password-encryption
        !
        hostname 33-Ns-gateway
        !
        logging buffered 64000 debugging
        enable secret 5 $1$IWJr$nI.NcIr/b9DN7jEQQC17R/
        !
        !
        !
        !
        !
        ip subnet-zero
         
!--- WCCP enabled.

        ip wccp web-cache
        ip cef
        no ip domain-lookup
        ip domain-name testdomain.com
        ip name-server 161.44.11.21
        ip name-server 161.44.11.206
        !
        !
        !
        !
        interface Ethernet0/0
        ip address 10.1.3.50 255.255.255.0
        no ip route-cache cef
        !
        interface Ethernet1/0
        description interface to the CE .5
        bandwidth 100
        ip address 10.27.2.1 255.255.255.0
        full-duplex
        !
        interface Ethernet1/1
        description inter to DMZ
        ip address 172.18.124.211 255.255.255.0
        
!--- Configure the interface to enable the router !--- to verify that the appropriate !--- packets are redirected to the cache engine.

        ip wccp web-cache redirect out
        no ip route-cache cef
        no ip route-cache
        no ip mroute-cache
        !
        interface Ethernet1/2
        description Preconfigured for recreates 10.27.3.0/24 net
        ip address 10.27.3.1 255.255.255.0
        no ip route-cache cef
        !
        interface Ethernet1/3
        no ip address
        shutdown
        !
        ip classless
        ip route 0.0.0.0 0.0.0.0 172.18.124.1
        no ip http server
        !
        !
        line con 0
        exec-timeout 0 0
        transport input none
        line aux 0
        exec-timeout 0 0
        line vty 0 4
        exec-timeout 0 0
        password ww
        login
        !
        end
33-Ns-gateway#

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Dépannage des commandes

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

Note : Avant d'émettre des commandes debug, consultez Informations importantes sur les commandes de débogage.

Commandes Cache Engine :

  • debug authentication all all : débogue l'authentification.

  • debug radius all all - Affiche le débogage du module RADIUS de l'interface Web.

  • type var/log/translog/working.log : vérifie que les URL sont mises en cache et que l'utilisateur accède aux pages. Tout autre type de message doit être renvoyé à l'assistance technique de Cisco pour obtenir des éclaircissements. Le type de messages d'erreur le plus courant dans ce journal est l'authentification a échoué en raison d'un utilisateur inconnu, ou de la clé de serveur incorrecte.

Voici un exemple de sortie de commande de la commande debug radius all et de l'authentification debug all all commandes : 

RadiusCheck(): Begin
RadiusCheck(): Begin
RadiusCheck(): Begin
RadiusBuildRequest(): Begin
RadiusBuildRequest(): Begin
RadiusBuildRequest(): Begin
[82] User-Name = "chbanks"
[82] User-Name = "chbanks"
[82] User-Name = "chbanks"
[82] NAS-IP-Address = 10.27.2.2
[82] NAS-IP-Address = 10.27.2.2
[82] NAS-IP-Address = 10.27.2.2
[82] NAS-Port = 80
[82] NAS-Port = 80
[82] NAS-Port = 80
RadiusAuthenticate(): Begin
RadiusAuthenticate(): Begin
RadiusAuthenticate(): Begin
CfgGetRadiusInfo(): Begin
CfgGetRadiusInfo(): Begin
CfgGetRadiusInfo(): Begin
UpdatePassword(): Begin
UpdatePassword(): Begin
UpdatePassword(): Begin
[82] radsend: Request to 172.18.124.106 id=1, length=171
[82] radsend: Request to 172.18.124.106 id=1, length=171
[82] radsend: Request to 172.18.124.106 id=1, length=171
RadiusReplyValidate(): Begin
RadiusReplyValidate(): Begin
RadiusReplyValidate(): Begin
RadiusReplyValidate(): [82] Received 26 byte message back
RadiusReplyValidate(): [82] Received 26 byte message back
RadiusReplyValidate(): [82] Received 26 byte message back
RadiusReplyValidate(): Got a valid response from server 172.18.124.106.
RadiusReplyValidate(): Got a valid response from server 172.18.124.106.
RadiusReplyValidate(): Got a valid response from server 172.18.124.106.
DecodeReply(): Begin
DecodeReply(): Begin
DecodeReply(): Begin
DecodeReply: WEB_YES_BLOCKING default
DecodeReply: WEB_YES_BLOCKING default
DecodeReply: WEB_YES_BLOCKING default
RadiusCheck(): WEB_YES_BLOCKING
RadiusCheck(): WEB_YES_BLOCKING
RadiusCheck(): WEB_YES_BLOCKING
RemoteUserAdd(): Begin
RemoteUserAdd(): Begin
RemoteUserAdd(): Begin
RemoteUserAdd(): Updated remote user chbanks
RemoteUserAdd(): Updated remote user chbanks
RemoteUserAdd(): Updated remote user chbanks
RemoteUserAuthenticate(): Begin
RemoteUserAuthenticate(): Begin
RemoteUserAuthenticate(): Begin
CfgGetRadiusInfo(): Begin
CfgGetRadiusInfo(): Begin
CfgGetRadiusInfo(): Begin
CfgRadiusGetExcludeState(): Begin
CfgRadiusGetExcludeState(): Begin
CfgRadiusGetExcludeState(): Begin
CfgRadiusGetExcludeState(): flag  = 0
CfgRadiusGetExcludeState(): flag  = 0
CfgRadiusGetExcludeState(): flag  = 0
RemoteUserUpdate(): Begin
RemoteUserUpdate(): Begin
RemoteUserUpdate(): Begin
CfgRadiusGetMultipleUserPromptState(): Begin
CfgRadiusGetMultipleUserPromptState(): Begin
CfgRadiusGetMultipleUserPromptState(): Begin
CfgRadiusGetMultipleUserPromptState(): flag  = 1
CfgRadiusGetMultipleUserPromptState(): flag  = 1
CfgRadiusGetMultipleUserPromptState(): flag  = 1
CfgRadiusGetMultipleUserPromptTimeout(): Begin
CfgRadiusGetMultipleUserPromptTimeout(): Begin
CfgRadiusGetMultipleUserPromptTimeout(): Begin
CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25
CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25
CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25
fsgetUsrInfoforIpAddr_radius will be called
fsgetUsrInfoforIpAddr_radius will be called
fsgetUsrInfoforIpAddr_radius will be called
RemoteUserUpdate() returned true
RemoteUserUpdate() returned true
 
RemoteUserUpdate() returned true

Commande du routeur :

  • show ip wccp : affiche les statistiques WCCP globales.

Informations connexes

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco