Configurando a autenticação RADIUS através do Cisco Cache Engine

Opções de download

  • PDF     (289.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (193.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (421.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:3 de agosto de 2004
ID do documento:15041

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento fornece instruções sobre como configurar a autenticação RADIUS através do Cache Engine para o Cisco Secure Access Control Server (ACS) para Microsoft Windows NT. Você deve estar executando o protocolo WCCP versão 2 (Web Cache Communication Protocol versão 2) para seguir corretamente este procedimento. Consulte Configuração do Protocolo de Comunicação de Cache Web Versão 2 em um Cisco Cache Engine e Router para obter mais informações sobre o WCCP versão 2.

Prerequisites

Requirements

Antes de tentar esta configuração, verifique se estes requisitos são atendidos:

  • Familiaridade com o Cisco Secure ACS para Windows ou UNIX.

  • Familiaridade com a configuração do WCCPv2 no roteador e no mecanismo de cache.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Cache Engine 505 em um ambiente de laboratório com configurações limpas

  • Cisco 2600 Router

  • Software Cisco Cache Engine versão 2.31

  • Software Cisco IOS® versão 12.1(3)T 3

  • Cisco Secure ACS para servidores Microsoft Windows NT/2000

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

radius_ce-01.gif

Conventions

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Configurar a autenticação RADIUS através do procedimento do mecanismo de cache

Siga estes passos para configurar o Cache Engine para autenticação RADIUS:

  1. Configure o Cache Engine como o NAS (Network Access Server, servidor de acesso à rede) no Cisco Secure ACS para Windows NT.

  2. Configure as informações do usuário no Cisco Secure ACS para Windows NT.

  3. Configure o Cache Engine para RADIUS e especifique o host e as informações-chave. 

    radius-server host 172.18.124.106
 radius-server key cisco123

  4. Configure o roteador para WCCP.

    Suas linhas de comando para o Cache Engine devem ser semelhantes a esta: 

    cepro#configure terminal 

!--- Enter configuration commands, one per line. !--- End with CNTL/Z. 

cepro(config)#radius-server host 172.18.124.106 
cepro(config)#radius-server key cisco123 
cepro#

Esta é a configuração do Cache Engine/NAS no Cisco Secure ACS para Windows NT:

radius_ce-02.gif

Esta é a página User Setup no Cisco Secure ACS para Windows NT:

radius_ce-03.gif

radius_ce-04.gif

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

Comandos do Cache Engine:

  • show version — Exibe a versão do software em execução no Cache Engine.

  • show hardware — Exibe a versão do software e o tipo de hardware no Cache Engine.

  • show running-config — Exibe a configuração atual em execução no Cache Engine.

  • show stat http usage — Exibe as estatísticas de uso.

  • show radius stat [all | primário | secondary ] — Exibe estatísticas de autenticação para os servidores RADIUS primário e secundário.

Este é um exemplo de saída do comando show version:

cepro#show version
Cisco Cache Engine
Copyright (c) 1986-2001 by Cisco Systems, Inc.
Software Release: CE ver 2.31 (Build: FCS  02/16/01)
Compiled: 11:20:14 Feb 22 2001 by bbalagot
Image text-base 0x108000, data_base 0x437534
 
System restarted by Reload
The system has been up for 3 hours, 52 minutes, 33 seconds.
System booted from "flash"

Este é um exemplo de saída do comando show hardware:

cepro#show hardware
Cisco Cache Engine
Copyright (c) 1986-2001 by Cisco Systems, Inc.
Software Release: CE ver 2.31 (Build: FCS  02/16/01)
Compiled: 11:20:14 Feb 22 2001 by bbalagot
Image text-base 0x108000, data_base 0x437534
 
System restarted by Reload
The system has been up for 3 hours, 52 minutes, 54 seconds.
System booted from "flash"
 
 
Cisco Cache Engine CE505 with CPU AMD-K6 (model 8) (rev. 12) AuthenticAMD
2 Ethernet/IEEE 802.3 interfaces
1 Console interface.
134213632 bytes of Physical Memory
131072 bytes of ROM memory.
8388608 bytes of flash memory.
 
List of disk drives:
 /c0t0d0  (scsi bus 0, unit 0, lun 0)

Este é um exemplo de saída do comando show running-config:

cepro#show running-config
Building configuration...
Current configuration:
!
!
logging recycle 64000
logging trap information
!
user add admin uid 0  password 1 "eeSdy9dcy"  capability admin-access
!
!
!
hostname cepro
!
interface ethernet 0
 ip address 10.27.2.2 255.255.255.0
 ip broadcast-address 10.27.2.255
exit
!
!
interface ethernet 1
exit
!
ip default-gateway 10.27.2.1
ip name-server 161.44.11.21
ip name-server 161.44.11.206
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 10.27.2.1
cron file /local/etc/crontab
!
bypass timer 1

!--- Specify the router list for use with WCCPv2.

wccp router-list 1 10.27.2.1 172.18.124.211

 !--- Instruct the router to run web cache service with WCCPv2.

wccp web-cache router-list-num 1

 !--- WCCPv2 enabled.

wccp version 2
!
 !--- RADIUS Server host and port is defined.

radius-server host 172.18.124.106 auth-port 1645
radius-server host 172.18.124.103 auth-port 1645

!--- RADIUS key defined.

radius-server key ****
authentication login local enable
authentication configuration local enable
transaction-logs enable
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
!
!
end
cepro#

Comandos do roteador:

  • show running-config — Exibe a configuração atual em execução no roteador.

  • show ip wccp — Exibe todos os serviços registrados.

  • show ip wccp <service-id> detail — Exibe a distribuição de tempo do WCCP para cada cache no cluster. Por exemplo, show ip wccp web-cache detail.

Este é um exemplo de saída do comando show running-config:

33-ns-gateway#show running-config
Building configuration...
      Current configuration:
        !
        version 12.1
        service timestamps debug datetime msec
        service timestamps log datetime msec
        no service password-encryption
        !
        hostname 33-Ns-gateway
        !
        logging buffered 64000 debugging
        enable secret 5 $1$IWJr$nI.NcIr/b9DN7jEQQC17R/
        !
        !
        !
        !
        !
        ip subnet-zero
         
!--- WCCP enabled.

        ip wccp web-cache
        ip cef
        no ip domain-lookup
        ip domain-name testdomain.com
        ip name-server 161.44.11.21
        ip name-server 161.44.11.206
        !
        !
        !
        !
        interface Ethernet0/0
        ip address 10.1.3.50 255.255.255.0
        no ip route-cache cef
        !
        interface Ethernet1/0
        description interface to the CE .5
        bandwidth 100
        ip address 10.27.2.1 255.255.255.0
        full-duplex
        !
        interface Ethernet1/1
        description inter to DMZ
        ip address 172.18.124.211 255.255.255.0
        
!--- Configure the interface to enable the router !--- to verify that the appropriate !--- packets are redirected to the cache engine.

        ip wccp web-cache redirect out
        no ip route-cache cef
        no ip route-cache
        no ip mroute-cache
        !
        interface Ethernet1/2
        description Preconfigured for recreates 10.27.3.0/24 net
        ip address 10.27.3.1 255.255.255.0
        no ip route-cache cef
        !
        interface Ethernet1/3
        no ip address
        shutdown
        !
        ip classless
        ip route 0.0.0.0 0.0.0.0 172.18.124.1
        no ip http server
        !
        !
        line con 0
        exec-timeout 0 0
        transport input none
        line aux 0
        exec-timeout 0 0
        line vty 0 4
        exec-timeout 0 0
        password ww
        login
        !
        end
33-Ns-gateway#

Troubleshoot

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos para Troubleshooting

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

Observação: antes de emitir comandos debug, consulte Informações importantes sobre comandos debug.

Comandos do Cache Engine:

  • debug authentication all — Depura a autenticação.

  • debug radius all —Exibe a depuração do módulo RADIUS da interface da Web.

  • type var/log/translog/working.log —Verifica se os URLs estão armazenados em cache e se o usuário acessa as páginas. Qualquer outro tipo de mensagem deve ser encaminhado ao Suporte Técnico da Cisco para esclarecimento. O tipo mais comum de mensagens de erro neste registro é falha na autenticação devido a um utilizador desconhecido ou à chave incorreta do servidor.

Este é um exemplo de saída do comando debug radius all e do comando debug authentication all: 

RadiusCheck(): Begin
RadiusCheck(): Begin
RadiusCheck(): Begin
RadiusBuildRequest(): Begin
RadiusBuildRequest(): Begin
RadiusBuildRequest(): Begin
[82] User-Name = "chbanks"
[82] User-Name = "chbanks"
[82] User-Name = "chbanks"
[82] NAS-IP-Address = 10.27.2.2
[82] NAS-IP-Address = 10.27.2.2
[82] NAS-IP-Address = 10.27.2.2
[82] NAS-Port = 80
[82] NAS-Port = 80
[82] NAS-Port = 80
RadiusAuthenticate(): Begin
RadiusAuthenticate(): Begin
RadiusAuthenticate(): Begin
CfgGetRadiusInfo(): Begin
CfgGetRadiusInfo(): Begin
CfgGetRadiusInfo(): Begin
UpdatePassword(): Begin
UpdatePassword(): Begin
UpdatePassword(): Begin
[82] radsend: Request to 172.18.124.106 id=1, length=171
[82] radsend: Request to 172.18.124.106 id=1, length=171
[82] radsend: Request to 172.18.124.106 id=1, length=171
RadiusReplyValidate(): Begin
RadiusReplyValidate(): Begin
RadiusReplyValidate(): Begin
RadiusReplyValidate(): [82] Received 26 byte message back
RadiusReplyValidate(): [82] Received 26 byte message back
RadiusReplyValidate(): [82] Received 26 byte message back
RadiusReplyValidate(): Got a valid response from server 172.18.124.106.
RadiusReplyValidate(): Got a valid response from server 172.18.124.106.
RadiusReplyValidate(): Got a valid response from server 172.18.124.106.
DecodeReply(): Begin
DecodeReply(): Begin
DecodeReply(): Begin
DecodeReply: WEB_YES_BLOCKING default
DecodeReply: WEB_YES_BLOCKING default
DecodeReply: WEB_YES_BLOCKING default
RadiusCheck(): WEB_YES_BLOCKING
RadiusCheck(): WEB_YES_BLOCKING
RadiusCheck(): WEB_YES_BLOCKING
RemoteUserAdd(): Begin
RemoteUserAdd(): Begin
RemoteUserAdd(): Begin
RemoteUserAdd(): Updated remote user chbanks
RemoteUserAdd(): Updated remote user chbanks
RemoteUserAdd(): Updated remote user chbanks
RemoteUserAuthenticate(): Begin
RemoteUserAuthenticate(): Begin
RemoteUserAuthenticate(): Begin
CfgGetRadiusInfo(): Begin
CfgGetRadiusInfo(): Begin
CfgGetRadiusInfo(): Begin
CfgRadiusGetExcludeState(): Begin
CfgRadiusGetExcludeState(): Begin
CfgRadiusGetExcludeState(): Begin
CfgRadiusGetExcludeState(): flag  = 0
CfgRadiusGetExcludeState(): flag  = 0
CfgRadiusGetExcludeState(): flag  = 0
RemoteUserUpdate(): Begin
RemoteUserUpdate(): Begin
RemoteUserUpdate(): Begin
CfgRadiusGetMultipleUserPromptState(): Begin
CfgRadiusGetMultipleUserPromptState(): Begin
CfgRadiusGetMultipleUserPromptState(): Begin
CfgRadiusGetMultipleUserPromptState(): flag  = 1
CfgRadiusGetMultipleUserPromptState(): flag  = 1
CfgRadiusGetMultipleUserPromptState(): flag  = 1
CfgRadiusGetMultipleUserPromptTimeout(): Begin
CfgRadiusGetMultipleUserPromptTimeout(): Begin
CfgRadiusGetMultipleUserPromptTimeout(): Begin
CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25
CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25
CfgRadiusGetMultipleUserPromptTimeout(): lMultipleUserPromptTimeout = 25
fsgetUsrInfoforIpAddr_radius will be called
fsgetUsrInfoforIpAddr_radius will be called
fsgetUsrInfoforIpAddr_radius will be called
RemoteUserUpdate() returned true
RemoteUserUpdate() returned true
 
RemoteUserUpdate() returned true

Comando do roteador:

  • show ip wccp —Exibe estatísticas globais de WCCP.

Informações Relacionadas

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco