由于MA5200F配置了向radius端送帐号时不带域名导致用户认证失败

发布时间:  2012-07-26 浏览次数:  53 下载次数:  0
问题描述
版本:和版本无关
现象:用户拔号提示用户名和密码无效,但是输入的用户名可以确认是和RADIUS上配置是相同的。
告警信息

处理过程
1、在用户拨号时,debug radius报文,radius端返回了code=3的报文,信息如下:
Code    : 3                                                                   
  Len     : 64                                                                  
  ID      : 223                                                                 
  [Reply-Message(18)                  ] [44] [[Code 13]: Unable to find user in database]  
信息显示在数据库中无法找到用户的信息。
2、和radius确认数据,radius端已经为用户配置了帐号,和客户端一致。
3、查看code=1的报文中,发现MA5200F向radius端发送的用户帐号是不带域名的,而客户端输入的帐号是带域名的,查看用户配置,系统中该用户域引用的radius组中,配置了“undo radius-server user-name domain-included",将此命令删除后,用户顺利上线。
4、该问题就是由于MA5200F配置了向radius发送用户帐号时不带域名,而radius端配置的用户帐号是带域名的,导致验证用户帐号失败。          
根因
由于认证提示用户名和密码无效,说明和RADIUS通信是正常的,所以可能的故障原因有:
1、radius为用户配置的帐号错误。
2、用户输入的用户名、密码错等。
建议与总结
类似这种用户无法上线的问题,如果是radius认证的用户,我们可以通过debug radius报文来查看用户的信息,来确定问题的原因:若没有radius报文(确定可以正常输出debug信息的前提下),很可能是用户的报文没有送到MA5200F上来;如果只有code=1的报文,说明radius端没有响应,radius端的问题或者链路问题;如果返回了code=3的报文,我们可以根据reply的信息来确定问题的原因。如果是用户我们可以对用户做trace(跟踪报文)来查看用户报文的交互过程来确定问题的原因。以上操作命令请参考用户手册。

END