配置计费导致基于hwcacacs+local认证方式的SSH用户无法上线

发布时间:  2015-04-28 浏览次数:  219 下载次数:  0
问题描述

采用hwcacacs+local方式,如果hwcacacs不响应使用本地认证,SSH登陆时用户无法上线

 

 

 

处理过程

查看配置采用的是hwcacacs+local方式,测试发现hwcacacs无响应,说明采用的local的方式,而在管理域中配置了计费模板,采用hwcacacs方式,hwcacacs计费服务器无响应导致无法上线

#

hwtacacs-server template hwtacacs

hwtacacs-server authentication 10.100.64.54

hwtacacs-server authentication 10.100.64.57 secondary

hwtacacs-server authorization 10.100.64.54

hwtacacs-server authorization 10.100.64.57 secondary

hwtacacs-server accounting 10.100.64.54

hwtacacs-server accounting 10.100.64.57 secondary

hwtacacs-server source-ip 10.102.34.34

hwtacacs-server shared-key cipher @%@%A8M|E1cst/eKD33IG*.:Lf]_@%@%

aaa

authentication-scheme hwtacacs

authentication-mode hwtacacs local

authorization-scheme hwtacacs

authorization-mode hwtacacs local

accounting-scheme hwtacacs

accounting-mode hwtacacs

accounting start-fail online //默认情况下,用户开始计费失败,不能上线,即accounting start-fail offline,添加此命令保证计费失败任在线

 

domain default

domain default_admin

authentication-scheme hwtacacs

accounting-scheme hwtacacs

authorization-scheme hwtacacs //默认的管理域配置了计费模板

hwtacacs-server hwtacacs

domain radius

authentication-scheme radius

radius-server radius

local-user admin password cipher %@%@/Pf(ZErJ*Lb2XK1~sM{>v3M6%@%@

local-user admin privilege level 15

local-user admin service-type ssh

stelnet server enable

ssh authentication-type default password

ssh user admin

ssh user admin authentication-type password

ssh user admin service-type stelnet

 

根因
采用hwtacacs+local方式由于配置了accounting-scheme,默认情况下,用户开始计费失败,不能上线,即accounting start-fail offline。而用户当前hwcacacs服务器无响应导致无法上线,需要配置accounting start-fail online保证计费失败后任然在线
解决方案
在 accounting-scheme hwtacacs添加accounting start-fail online
建议与总结

对于hwtacacs方式,认证,授权,计费可以分别使用,认证时需要考虑用户aaa实际采用哪种方式。

END