Radius服务器原因导致AR46路由器3A认证无法授权和认证

发布时间:  2012-07-27 浏览次数:  151 下载次数:  0
问题描述
现网的应用是1台RSA Server,对华为的NE80E、H3C的AR46进行验证和授权。NE80E验证和授权正常,AR46能够进行验证,但是只能1级授权,需要再输入super密码才能3级授权。AR46默认标准Radius服务类型修改为huawei后,radius无法进行认证(修改前只是无法授权)。
版本如下:
NE80E:V300R002C06B323 
AR46:Version 3.40, Release 0201P26
RSA Server:6.1(5.20.1857)
告警信息
处理过程

1、检查AR46配置发现没有修改Radius的服务类型,默认标准服务类型不支持扩展属性,即在认证请求报文中不携带授权字段。需要修改为huawei或者extended。
2、修改配置后仍然无法获取授权,抓包发现radius服务器下发的属性不够,Access-Accept报文只携带了两个属性Class和hw-29(华为用户等级的私有属性),但缺少Login-Service属性,Login-Service属性可为telnet登录授权。 
实验室进行验证,相同配置下发同样的属性,不能认证登录,在Radius服务器上增加下发Login-Service = Telnet的属性就可以telnet登录了。
Access-Accept
 Login-Service = Telnet
 hw-29 = 2
协调客户在Radius服务器上增加下发Login-Service属性后,AR46上的用户可正常认证和获取授权。
3、AR46对Radius认证的Login-Service属性值有如下扩展:
VALUE   Login-Service  Ssh  50
VALUE   Login-Service  Ftp  51
VALUE   Login-Service  Terminal  52
如果要console口登录,则需要下发 Login-Service = 52 的属性。如果同一个用户既要console口登录也要telnet登录,应该根据设备认证请求报文中的61 NAS-Port-Type区分下发不同的属性。

根因
授权是在Radius认证请求/回复过程中附加的一个字段,无法授权的可能原因有:
1)AR46发送的认证请求报文缺少授权字段,导致Radius服务器不回应授权相关信息;
2)Radius服务器回应的授权信息不完整,导致AR46无法获取授权。
建议与总结

END