用户通过AR511进行Portal认证时认证失败

发布时间:  2015-08-19 浏览次数:  381 下载次数:  0
问题描述
如图1所示,用户通过WiFi上网,在设备推送的WEB页面输入用户名和密码后,页面提示认证失败。

图1-1 组网图

处理过程
步骤 1 通过第三方软件获取设备上的认证报文信息。

Radius认证服务器向客户端下发的认证响应报文如下:



从上图中显示内容可以看出,用户只授权了IP地址的掩码,没有授权IP地址。

步骤 2 登录设备,查看设备是否存在合法的IP地址。

执行命令debugging aaa all,打开AAA模块所有级别的调试信息开关。

<Huawei> debugging aaa all
2014 03:51:21.199.3+00:00 Huawei AAA/7/DEBUG: 
[AAA ERROR]The corresponding ip is invalid or not configured.

如上查询结果显示,IP地址不合法。因此可以判定,设备收到服务器的授权信息时,会检查IP地址的合法性。如果IP地址不合法则返回认证失败。

由于AR设备的独有属性:Framed-IP-Netmask必须和Framed-IP-Address一起使用。所以,如果要认证通过必须同时配置IP地址和IP地址的掩码,或者对设备返回消息中的Framed-IP-Netmask与Framed-IP-Address属性进行不授权。

步骤 3 从步骤1中可以看出,响应报文中存在Framed-IP-Netmask属性信息。所以,通过在设备上执行下面命令,使设备不对Radius认证服务器返回的授权信息中的Framed-IP-Netmask属性进行解析。

<Huawei> system-view
[Huawei] radius-server template test1
[Huawei-radius-test1] radius-server attribute translate    //使能RADIUS属性转换功能
[Huawei-radius-test1] radius-attribute disable Framed-IP-Netmask receive    //禁用Framed-IP-Netmask属性

步骤 4 执行下面命令,再次查看用户的上线情况,发现用户可以上线成功。

<Huawei> display access-user user-id 1099

Basic:
  User ID                         : 1099
  User name                       : test011
  Domain-name                     : 123
  User MAC                        : 4487-fc40-f05b
  User IP address                 : 13.13.13.250
  User access Interface           : Wlan-Bss1
  QinQVlan/UserVlan               : 0/100
  User access time                : 2014/09/20 10:05:39
  User accounting session ID      : Huawei000480000000066749df000017 
  User access type                : WEB
  AP ID                           : 0
  AP name                         : ap-0
  Radio ID                        : 0
  AP MAC                          : 0a0b-0c00-0500
  SSID                            : huawei111
  Online time                     : 14(s)
  Web-server IP address           : 192.168.100.62

AAA:
  User authentication type        : WEB authentication
  Current authentication method   : RADIUS
  Current authorization method    : -
  Current accounting method       : RADIUS

用户再次访问WEB时,输入用户名和密码可以认证成功。问题解决。
根因
通常情况下,一个RADIUS服务器会同时与多台网络设备对接,这些网络设备可能是同一个厂商的,也可能是不同厂商的。有些厂商的设备可能需要RADIUS服务器下发某个属性以支持特定的特性,但另外的厂商设备可能不支持这个属性,因此就会造成解析失败。
建议与总结
当AR路由设备与第三方的Portal服务器对接时,若发现认证不通过,要及时获取相关报文信息,分析Radius认证服务器返回报文的属性与AR设备是否兼容,如果不兼容,要及时修改配置以保证认证通过。

END