S9300和友商C的ACS服务器进行hwtacacs对接问题处理

发布时间:  2014-09-12 浏览次数:  447 下载次数:  13
问题描述
版本信息:
VRP (R) software, Version 5.70 (S9300 V100R003C00SPC200)
故障现象:
1、S9300和ACS对接进行hwtacacs认证,认证采用先hwtacacs后本地认证,使用ACS帐号认证不成功。
2、处理第1个问题后,在ACS正常的情况下,客户端telnet登陆S9300时,可以同时使用ACS帐号和本地帐号(正常情况下,当ACS服务正常时,本地帐号无法使用;只有当ACS服务异常时,本地帐号才能使用)。
告警信息
告警信息:
1、在第一个问题显示的信息
Mar 17 2011 16:59:17+08:00 A_SZA_CAM_DS01 %%01SHELL/4/TELNETFAILED(l)[0]:Failed to login through telnet. (Ip=30.32.80.10, UserName=**, Times=1)
2、在第二个问题显示的信息
Mar 17 2011 17:13:39.470.7+08:00 A_SZA_CAM_DS01 TAC/7/Event:HandleReqMsg: Session status is connect now.
Mar 17 2011 17:13:39.480.1+08:00 A_SZA_CAM_DS01 TAC/7/Event: Tac packet sending success!           
 version:c0 type:1-authentication sequence:5 flag:0-ENCRYPTED_FLAG session id:93703 length:14 serverIP:30.32.8.11 vrf:0
Mar 17 2011 17:13:39.480.2+08:00 A_SZA_CAM_DS01 TAC/7/Event:statistics: transmit flag: 1-SENDPACKET, server flag: 0-authentication, packet flag: 0xff
Mar 17 2011 17:13:46.830.1+08:00 A_SZA_CAM_DS01 TAC/7/Event:statistics: transmit flag: 3-NORESPONSE, server flag: 0-authentication, packet flag: 0xff
Mar 17 2011 17:13:46.830.2+08:00 A_SZA_CAM_DS01 TAC/7/Event:Session is timeout when waiting for server's response.
Mar 17 2011 17:13:46.830.3+08:00 A_SZA_CAM_DS01 TAC/7/Event:No useful server.
Mar 17 2011 17:13:46.830.4+08:00 A_SZA_CAM_DS01 TAC/7/Event:TAC_FindServer [NoReply]: ucTemplateNum =0, ServerIpAddr =30.32.8.11
Mar 17 2011 17:13:46.830.5+08:00 A_SZA_CAM_DS01 TAC/7/Event:Can not find a valid server when receive AuthenResponese packet Timeout.
处理过程
处理过程:
1、确认S9300和ACS之间IP可达,确认S9300指定的源地址(loopback0)就是ACS上配置的client地址。
2、打开debugging hwtacacs all和隐含模式下debugging aaa all查看交付信息。
3、在第1个问题处理时,发现显示的信息很少,怀疑设备和ACS之间没有正常交互,后来发现hwtacacs-server acs配置在domain default下,由于V1R3版本的默认域变为default_admin,修改配置到default_admin下,问题1得到解决。
aaa
 domain default
 domain default_admin
  hwtacacs-server acs
4、在处理第2个问题时,对比本地帐号和ACS帐号认证的过程,发现本地帐号认证时,把信息发给ACS后,没有得到ACS的明显拒绝,而是显示等待ACS回应时间超时,所以转本次认证成功;查看ACS服务器的配置,发现在ACS的External User Databases配置选择的是第2项“Check the following external user databases”;
5、修改External User Databases配置选择第1项“Fail the attempt”后,问题解决。
根因
原因分析:
1、由于S9300从V1R2版本开始默认域从default变为default_admin,但是目前配置在default下
aaa
 domain default
  hwtacacs-server acs
 domain default_admin
所以S9300和ACS之间没有hwtacacs的正常交互。
2、ACS配置错误,配置在本ACS数据库没有该帐号时,继续寻找下一个数据库,而不是明确的拒绝该帐号,所以导致ACS响应超时,转本地认证。
建议与总结
总结:
1、S9300的V1R1版本系统默认域default,V1R2以及之后版本默认域default_admin
2、S53/33/23 V1R2之前版本系统默认域default,V1R3以及之后版本默认域default_admin
3、设备升级时,注意升级前后域的变化,导致升级后无法远程登陆
4、当配置了远端认证没有响应转本地认证时,一定要注意配置计费失败保持用户在线策略,因为本地不支持计费,否则本地帐号会因计费失败被cut掉导致无法登陆。
 accounting-scheme default
  accounting-mode hwtacacs local
accounting start-fail  online

END