تكوين مصادقة RADIUS من خلال محرك ذاكرة التخزين المؤقت من Cisco
المحتويات
المقدمة
يقدم هذا المستند تعليمات حول كيفية تكوين مصادقة RADIUS من خلال محرك ذاكرة التخزين المؤقت إلى خادم التحكم في الوصول الآمن (ACS) من Cisco ل Microsoft Windows NT. يجب أن تقوم بتشغيل بروتوكول إتصالات ذاكرة التخزين المؤقت للويب الإصدار 2 (WCCPv2) لمتابعة هذا الإجراء بشكل صحيح. يرجى الرجوع إلى تكوين بروتوكول إتصالات ذاكرة التخزين المؤقت للويب الإصدار 2 على محرك ذاكرة التخزين المؤقت من Cisco والموجه للحصول على مزيد من المعلومات حول WCCP الإصدار 2.
المتطلبات الأساسية
المتطلبات
قبل محاولة هذا التكوين، تأكد من استيفاء المتطلبات التالية:
-
التعرف على مصدر المحتوى الإضافي الآمن من Cisco لنظام التشغيل Windows أو Unix.
-
التشابه مع تكوين WCCPv2 على كل من الموجه ومحرك ذاكرة التخزين المؤقت.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
-
محرك ذاكرة التخزين المؤقت طراز 505 من Cisco في بيئة معملية بتكوينات ممسوحة
-
موجّه Cisco 2600
-
برنامج محرك ذاكرة التخزين المؤقت الإصدار 2.31 من Cisco
-
برنامج IOS® الإصدار 12.1(3)T 3 من Cisco
-
مصدر المحتوى الإضافي الآمن من Cisco لخوادم Microsoft Windows NT/2000
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الرسم التخطيطي للشبكة
يستخدم هذا المستند إعداد الشبكة التالي:
الاصطلاحات
للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.
تكوين مصادقة RADIUS من خلال إجراء محرك ذاكرة التخزين المؤقت
أستخدم هذه الخطوات لتكوين محرك ذاكرة التخزين المؤقت لمصادقة RADIUS:
-
قم بتكوين محرك ذاكرة التخزين المؤقت كخادم الوصول إلى الشبكة (NAS) في Cisco ACS الآمن ل Windows NT.
-
قم بتكوين معلومات المستخدم في Cisco Secure ACS ل Windows NT.
-
قم بتكوين محرك ذاكرة التخزين المؤقت ل RADIUS، وحدد معلومات المضيف والمفتاح.
radius-server host 172.18.124.106 radius-server key cisco123
-
قم بتكوين الموجه ل WCCP.
يجب أن تظهر سطور الأوامر الخاصة بك لمحرك التخزين المؤقت مشابهة لما يلي:
cepro#configure terminal !--- Enter configuration commands, one per line. !--- End with CNTL/Z. cepro(config)#radius-server host 172.18.124.106 cepro(config)#radius-server key cisco123 cepro#
هذا هو تكوين محرك ذاكرة التخزين المؤقت/NAS على مصدر المحتوى الإضافي الآمن من Cisco ل Windows NT:
هذه هي صفحة "إعداد المستخدم" على Cisco Secure ACS ل Windows NT:
التحقق من الصحة
يوفر هذا القسم معلومات يمكنك إستخدامها للتأكد من أن التكوين يعمل بشكل صحيح.
يتم دعم بعض أوامر العرض بواسطة أداة مترجم الإخراج (العملاء المسجلون فقط)، والتي تتيح لك عرض تحليل إخراج أمر العرض.
أوامر محرك التخزين المؤقت:
-
يعرض عرض صيغة—إصدار البرنامج الجاري تشغيله على محرك ذاكرة التخزين المؤقت.
-
show hardware—يعرض كل من إصدار البرنامج ونوع الجهاز على محرك ذاكرة التخزين المؤقت.
-
show running-config— يعرض التكوين الجاري تشغيله الفعلي على محرك ذاكرة التخزين المؤقت.
-
show stat http use—يعرض إحصائيات الاستخدام.
-
show radius stat [الكل | أساسي | ثانوي — يعرض إحصائيات المصادقة لخوادم RADIUS الأساسية والثانوية.
وهذه عينة من مخرجات الأمر من الأمر show version:
cepro#show version Cisco Cache Engine Copyright (c) 1986-2001 by Cisco Systems, Inc. Software Release: CE ver 2.31 (Build: FCS 02/16/01) Compiled: 11:20:14 Feb 22 2001 by bbalagot Image text-base 0x108000, data_base 0x437534 System restarted by Reload The system has been up for 3 hours, 52 minutes, 33 seconds. System booted from "flash"
وهذه عينة من مخرجات الأمر من الأمر show hardware:
cepro#show hardware Cisco Cache Engine Copyright (c) 1986-2001 by Cisco Systems, Inc. Software Release: CE ver 2.31 (Build: FCS 02/16/01) Compiled: 11:20:14 Feb 22 2001 by bbalagot Image text-base 0x108000, data_base 0x437534 System restarted by Reload The system has been up for 3 hours, 52 minutes, 54 seconds. System booted from "flash" Cisco Cache Engine CE505 with CPU AMD-K6 (model 8) (rev. 12) AuthenticAMD 2 Ethernet/IEEE 802.3 interfaces 1 Console interface. 134213632 bytes of Physical Memory 131072 bytes of ROM memory. 8388608 bytes of flash memory. List of disk drives: /c0t0d0 (scsi bus 0, unit 0, lun 0)
وهذه عينة من إخراج الأمر من الأمر show running-config:
cepro#show running-config Building configuration... Current configuration: ! ! logging recycle 64000 logging trap information ! user add admin uid 0 password 1 "eeSdy9dcy" capability admin-access ! ! ! hostname cepro ! interface ethernet 0 ip address 10.27.2.2 255.255.255.0 ip broadcast-address 10.27.2.255 exit ! ! interface ethernet 1 exit ! ip default-gateway 10.27.2.1 ip name-server 161.44.11.21 ip name-server 161.44.11.206 ip domain-name cisco.com ip route 0.0.0.0 0.0.0.0 10.27.2.1 cron file /local/etc/crontab ! bypass timer 1 !--- Specify the router list for use with WCCPv2. wccp router-list 1 10.27.2.1 172.18.124.211 !--- Instruct the router to run web cache service with WCCPv2. wccp web-cache router-list-num 1 !--- WCCPv2 enabled. wccp version 2 ! !--- RADIUS Server host and port is defined. radius-server host 172.18.124.106 auth-port 1645 radius-server host 172.18.124.103 auth-port 1645 !--- RADIUS key defined. radius-server key **** authentication login local enable authentication configuration local enable transaction-logs enable rule no-cache url-regex .*cgi-bin.* rule no-cache url-regex .*aw-cgi.* ! ! end cepro#
أوامر الموجه:
-
show running-config— يعرض التكوين الجاري تشغيله الفعلي على الموجه.
-
show ip wccp— يعرض جميع الخدمات المسجلة.
-
show ip wccp <service-id> detail— يعرض توزيع دلو WCCP لكل ذاكرة تخزين مؤقت في نظام المجموعة. على سبيل المثال، show ip wccp web-cache detail.
وهذه عينة من إخراج الأمر من الأمر show running-config:
33-ns-gateway#show running-config
Building configuration...
Current configuration:
!
version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 33-Ns-gateway
!
logging buffered 64000 debugging
enable secret 5 $1$IWJr$nI.NcIr/b9DN7jEQQC17R/
!
!
!
!
!
ip subnet-zero
!--- WCCP enabled.
ip wccp web-cache
ip cef
no ip domain-lookup
ip domain-name testdomain.com
ip name-server 161.44.11.21
ip name-server 161.44.11.206
!
!
!
!
interface Ethernet0/0
ip address 10.1.3.50 255.255.255.0
no ip route-cache cef
!
interface Ethernet1/0
description interface to the CE .5
bandwidth 100
ip address 10.27.2.1 255.255.255.0
full-duplex
!
interface Ethernet1/1
description inter to DMZ
ip address 172.18.124.211 255.255.255.0
!--- Configure the interface to enable the router !--- to verify that the appropriate !--- packets are redirected to the cache engine.
ip wccp web-cache redirect out
no ip route-cache cef
no ip route-cache
no ip mroute-cache
!
interface Ethernet1/2
description Preconfigured for recreates 10.27.3.0/24 net
ip address 10.27.3.1 255.255.255.0
no ip route-cache cef
!
interface Ethernet1/3
no ip address
shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.1
no ip http server
!
!
line con 0
exec-timeout 0 0
transport input none
line aux 0
exec-timeout 0 0
line vty 0 4
exec-timeout 0 0
password ww
login
!
end
33-Ns-gateway#
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.
أوامر استكشاف الأخطاء وإصلاحها
يتم دعم بعض أوامر العرض بواسطة أداة مترجم الإخراج (العملاء المسجلون فقط)، والتي تتيح لك عرض تحليل إخراج أمر العرض.
ملاحظة: قبل إصدار أوامر تصحيح الأخطاء، يرجى الاطلاع على المعلومات المهمة في أوامر تصحيح الأخطاء.
أوامر محرك التخزين المؤقت:
-
تصحيح أخطاء المصادقة الكل—تصحيح أخطاء المصادقة.
-
debug radius all—يعرض تصحيح أخطاء وحدة واجهة الويب RADIUS.
-
اكتب var/log/translog/working.log—يتحقق من أن URLs مخزنة مؤقتا، وأن المستخدم يصل إلى الصفحات. يجب إحالة أي نوع آخر من الرسائل إلى دعم Cisco التقني للتوضيح. النوع الأكثر شيوعا لرسائل الخطأ في هذا السجل هو فشل المصادقة بسبب مستخدم غير معروف، أو بسبب مفتاح الخادم غير الصحيح.
هذا نموذج لأمر ينتج من debug radius all وdebug authentication all أوامر:
RadiusCheck(): Begin RadiusCheck(): Begin RadiusCheck(): Begin RadiusBuildRequest(): Begin RadiusBuildRequest(): Begin RadiusBuildRequest(): Begin [82] User-Name = "chbanks" [82] User-Name = "chbanks" [82] User-Name = "chbanks" [82] NAS-IP-Address = 10.27.2.2 [82] NAS-IP-Address = 10.27.2.2 [82] NAS-IP-Address = 10.27.2.2 [82] NAS-Port = 80 [82] NAS-Port = 80 [82] NAS-Port = 80 RadiusAuthenticate(): Begin RadiusAuthenticate(): Begin RadiusAuthenticate(): Begin CfgGetRadiusInfo(): Begin CfgGetRadiusInfo(): Begin CfgGetRadiusInfo(): Begin UpdatePassword(): Begin UpdatePassword(): Begin UpdatePassword(): Begin [82] radsend: Request to 172.18.124.106 id=1, length=171 [82] radsend: Request to 172.18.124.106 id=1, length=171 [82] radsend: Request to 172.18.124.106 id=1, length=171 RadiusReplyValidate(): Begin RadiusReplyValidate(): Begin RadiusReplyValidate(): Begin RadiusReplyValidate(): [82] Received 26 byte message back RadiusReplyValidate(): [82] Received 26 byte message back RadiusReplyValidate(): [82] Received 26 byte message back RadiusReplyValidate(): Got a valid response from server 172.18.124.106. RadiusReplyValidate(): Got a valid response from server 172.18.124.106. RadiusReplyValidate(): Got a valid response from server 172.18.124.106. DecodeReply(): Begin DecodeReply(): Begin DecodeReply(): Begin DecodeReply: WEB_YES_BLOCKING default DecodeReply: WEB_YES_BLOCKING default DecodeReply: WEB_YES_BLOCKING default RadiusCheck(): WEB_YES_BLOCKING RadiusCheck(): WEB_YES_BLOCKING RadiusCheck(): WEB_YES_BLOCKING RemoteUserAdd(): Begin RemoteUserAdd(): Begin RemoteUserAdd(): Begin RemoteUserAdd(): Updated remote user chbanks RemoteUserAdd(): Updated remote user chbanks RemoteUserAdd(): Updated remote user chbanks RemoteUserAuthenticate(): Begin RemoteUserAuthenticate(): Begin RemoteUserAuthenticate(): Begin CfgGetRadiusInfo(): Begin CfgGetRadiusInfo(): Begin CfgGetRadiusInfo(): Begin CfgRadiusGetExcludeState(): Begin CfgRadiusGetExcludeState(): Begin CfgRadiusGetExcludeState(): Begin CfgRadiusGetExcludeState(): flag = 0 CfgRadiusGetExcludeState(): flag = 0 CfgRadiusGetExcludeState(): flag = 0 RemoteUserUpdate(): Begin RemoteUserUpdate(): Begin RemoteUserUpdate(): Begin CfgRadiusGetMultipleUserPromptState(): Begin CfgRadiusGetMultipleUserPromptState(): Begin CfgRadiusGetMultipleUserPromptState(): Begin CfgRadiusGetMultipleUserPromptState(): flag = 1 CfgRadiusGetMultipleUserPromptState(): flag = 1 CfgRadiusGetMultipleUserPromptState(): flag = 1 CfgRadiusGetMultipleUserPromptTimeout(): Begin CfgRadiusGetMultipleUserPromptTimeout(): Begin CfgRadiusGetMultipleUserPromptTimeout(): Begin CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25 CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25 CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25 fsgetUsrInfoforIpAddr_radius will be called fsgetUsrInfoforIpAddr_radius will be called fsgetUsrInfoforIpAddr_radius will be called RemoteUserUpdate() returned true RemoteUserUpdate() returned true RemoteUserUpdate() returned true
أمر الموجه:
-
عرض ip wccp— يعرض إحصائيات WCCP العامة.
التعليقات