交换机与第三方AAA服务器对接出现属性授权失败

发布时间:  2015-09-14 浏览次数:  272 下载次数:  0
问题描述

国外某局点反馈:华为交换机和ActivIdentity 4TRESS AAA Server对接,AAA Server通过华为私有属性HW-Exec-Privilege为用户进行用户级别授权,授权失败。

处理过程

1、排查交换机配置,发现交换机各项配置正确。

2、排查服务器设置,发现华为私有属性HW-Exec-Privilege未按照ActivIdentity 4TRESS服务器定义的字典格式填写。

3、HW-Exec-Privilege属性的字典格式修改为ActivIdentity 4TRESS服务器定义的字典格式。其格式为“属性 属性名称 私有属性标记 [vid=vid vty=vty vat=vat]”,其中私有属性标记固定为26VID代表Vendor ID(华为公司Vendor ID固定为2011);vty代表私有属性号;vat代表属性格式。

因此,华为公司私有属性HW-Exec-PrivilegeActivIdentity 4TRESS服务器的字典格式为:“ATTRIBUTE Huawei-Exec-Privilege 26 [vid=2011 vty=29 vat=integer]

4、ActivIdentity 4TRESS服务器中导入修改后的Radius属性字典。

完成上述步骤后,AAA Server既能够通过华为私有属性HW-Exec-Privilege为用户进行用户级别授权。

根因

用户不了解ActivIdentity 4TRESS AAA Server的字典格式,导致加载的属性格式错误。

建议与总结

遇到服务器授权不生效时,如果检查设备配置正常,同时服务器授权相关步骤同样正确,可以排查属性的字典格式是否按照服务器规定的格式填写。这在使用新类型的AAA服务器时尤为重要。

END