防火墙tacacs 认证同一用户telnet可以,web失败

发布时间:  2014-11-17 浏览次数:  319 下载次数:  0
问题描述
防火墙上 tacacs 认证同一用户admin telnet可以成功,web失败。相同配置在交换机上,telnet和web都已经成功
告警信息
防火墙web登录失败
处理过程
1 检查配置无误,和能正常登陆的交换机的配置相同。telnet用户正常登陆说明用户认证配置正确,需重点明确telnet和web认证的差异性。
#
hwtacacs-server template test
  hwtacacs-server authentication x.x.x.x
  hwtacacs-server authorization x.x.x.x
  hwtacacs-server accounting x.x.x.x
  hwtacacs-server shared-key yyy
  undo hwtacacs-server user-name domain-included
#
aaa

  local-user admin password cipher yyy
  local-user admin service-type ftp web terminal telnet
  local-user admin level 15
  authentication-scheme default
   authentication-mode  hwtacacs  local
  #
  authorization-scheme default
   authorization-mode  hwtacacs  local
  #
  accounting-scheme default
  #
  domain default
  domain dot1x
  #
user-interface vty 0 4
  authentication-mode aaa
  protocol inbound all
#
2 防火墙登录web的用户必须是3级及以上权限才能登录,配置中采用的是hwtacacs授权,需要确认该用户在服务器上的级别是否是3级及以上。交换机责不需要,不同级别的用户登陆会有不同权限(看到的内容不同),检查tacacs的配置,用户admin已经配置到15级。


根因
经了解较早版本的防火墙,如本次案例的版本V3R1C00SPC800,web用户tacacs认证的默认方式为chap,telnet的默认方式pap,而tacacs针对用户admin配置的认证方式为pap,所以telnet用户可以认证通过,但web失败
解决方案
 需要升级到(V3R1C10SPC200+SPH201补丁)或以上测试,防火墙发到tacacs服务器的认证方式已全部修改为PAP。

END