ME60由于RADIUS服务器不可达导致3级权限用户只有1级权限

发布时间:  2014-12-16 浏览次数:  134 下载次数:  0
问题描述
用户通过路由器接入网络,采用RADIUS认证模式。配置本地用户的权限为3级,但是当RADIUS服务器不可达时,用户登录成功后只有1级权限。
处理过程
1. 用户的权限为1,说明用户已经通过了认证和授权,只是和RADIUS授权的级别不符,说明用户经过的不是RADIUS认证和授权。
2. 检查用户登录时的用户名,发现没有携带域名,因而系统使用缺省域来进行认证和授权。
3. 在AAA视图下执行命令display this查看设备的配置,配置如下

4.发现缺省域认证方案采用的认证模式是:首次采用RADIUS认证,二次认证为本地认证。授权方案采用的授权模式是if-authenticated认证。当RADIUS服务器不可达时,用户使用Local认证方式。因为配置的授权方式是if-authenticated,这种授权方式对Local不生效,故系统返回给认证成功的用户是VTY默认的权限1级。如果授权方案采用的是Local授权,系统返回给用户的权限则会是本地为用户设置的权限

解决方案
1. 执行命令system-view,进入系统视图。
2. 执行命令aaa,进入AAA视图。
3. 执行命令authorization-scheme default,进入Default认证方案视图。
4. 执行命令authorization-mode if-authenticated local,配置授权方案首先使用if-authenticated授权模式,再本地授权。
完成上述操作后,登录的用户为3级权限,故障排除。
建议与总结
 当登录的用户不带域名时,系统使用缺省域来进行认证和授权。如果使用本地认证,只有授权方案采用Local授权,系统返回给用户的权限才会是本地为用户设置的权限,否则系统返回给用户的权限是VTY默认的权限1级。

END