由于MA5200配置认证策略不当导致帐号更改密码后还能上线

发布时间:  2012-07-26 浏览次数:  75 下载次数:  0
问题描述
MA5200下接DSLAM用户,用户通过PPPOE拨号到RADIUS服务器上去做认证,有一个帐号是公用帐号,在RADIUS服务器上更改该用户的密码后,并在MA5200上切断该用户下线,该用户还可以使用原来的密码登陆上线。
告警信息
处理过程
1、登陆设备,把用户踢下线,看debug报文,发现用户发送code=1(认证请求报文)后,radius回应了code=3(认证失败)的报文,正常情况下不会在发送任何的报文,会把用户强制下线,但是在radius回应了code=3的报文后,MA5200G又给radius发送了code=4(计费请求报文)并且radius也回应了code=5(计费响应)的报文。这样的话用户就正是的上线了。也就是说在配置中应该配置了一条认证失败后还允许用户上线的命令。
2、查看配置,发现在认证方式中配置了一条远端认证失败后用户还允许在线的命令。
authentication-scheme  guangdong_authen                                           
authening authen-fail online 
authen-domain 16900.gd     
所以在radius上的帐号修改密码后,用户在radius认证失败,但是由于认证方式中加了远端认证失败后用户还允许在线的命令,所以用户还可以上线,删掉该命令后再次把用户踢下线,查看在线用户,该用户已经无法上线了。
根因
1、radius设置问题。
2、认证策略的问题。
本案例中是认证策略配置RADIUS认证失败充许用户上线,所以在radius更改密码后,用户使用原密码还能上线。
建议与总结

END