交换机S7700 对接C公司TACACS认证故障

发布时间:  2015-09-16 浏览次数:  245 下载次数:  0
问题描述

S7700 对接C公司TACACS服务器,对接后认证无异常,但是无法下发用户权限;当服务器异常,无法正常工作时,无法本地二级认证上线。

告警信息

处理过程

认证授权问题:

1、核实设备配置

hwtacacs-server template hwtacacs
 hwtacacs-server authentication 10.100.64.54
 hwtacacs-server authentication 10.100.64.57 secondary
 hwtacacs-server authorization 10.100.64.54
 hwtacacs-server authorization 10.100.64.57 secondary
 hwtacacs-server accounting 10.100.64.54
 hwtacacs-server accounting 10.100.64.57 secondary
 hwtacacs-server source-ip 10.102.34.34
 hwtacacs-server shared-key cipher @%@%A8M|E1cst/eKD33IG*.:Lf]_@%@%
#                                        

aaa
authentication-scheme default
authentication-scheme hwtacacs
  authentication-mode hwtacacs   //认证
authorization-scheme default
authorization-scheme hwtacacs
  authorization-mode hwtacacs   //授权
accounting-scheme default
accounting-scheme hwtacacs
  accounting-mode hwtacacs      //计费
recording-scheme hwtacacs

domain default
domain default_admin           //认证域中调用
  authentication-scheme hwtacacs
  accounting-scheme hwtacacs
  authorization-scheme hwtacacs
  hwtacacs-server hwtacacs 

2、配置无异常,采集设备debugging信息和互联服务器侧抓包信息

debbuging aaa all
debbuging HWTACACS all
debbuging cm

采集到的抓包信息和设备的抓包信息发现:

服务器没有下发级别:
2015-4-15 15:38:22.6.1+08:00 D02-JHHX-S7706-01

TACACS/7/Event:                        //收到的服务器授权回应,没有下发用户级别参数
version:c0  type:AUTHOR_REPLY
seq_no:2  flag:ENCRYPTED_FLAG
session_id:f5bf5beb  length:6
status:AUTHOR_STATUS_PASS_ADD
server_msg len:0        data len:0
arg_cnt:0
server_msg:
data:

对比之前的成功案例,S5700对接C公司tacacs服务器和C公司自己的设备对接发现:对接也仅作认证,无法下发权限,用户认证通过后,登录设备,以super password自助提前实现授权。

在新版本下,设备无super password配置,所以无法实现用户需求的权限下发,非HW设备问题。


二级认证问题:

    HW设备的二级认证,不是在服务器认证失败后再进行本地认证,认证失败也是认证结果,我们仅支持认证服务无反馈情况下做二级认证。

针对二级认证需修该配置为:

aaa
authentication-scheme default
authentication-scheme hwtacacs
  authentication-mode hwtacacs local  //认证
authorization-scheme default
authorization-scheme hwtacacs
  authorization-mode hwtacacs local  //授权

本地无法做计费,所以计费不用修改,但出现了异常提示认证失败。若不配置计费属性,用户可以正常的认证上线。

此处本地无授权功能,但是设备仍会运行计费进程,发现本地无法提供该属性,这上线属性不完整,导致用户无法登陆。

此处需增加配置:

配置建议做如下修改:

accounting-scheme hwtacacs
  accounting-mode hwtacacs
  accounting start-fail online

命令解释:accounting start-fail online:计费失败依然允许上线。

根因

1、授权问题  

    C公司服务器未下发授权信息,所以非HW设备问题。

2、二级认证问题

    配置出现缺失,补全accounting start-fail online后无异常。

解决方案

1、认证授权解决方案:替换服务器,或者配置服务器下发授权命令,然后在HW设备上实现。

2、二级认证:修改配置

建议与总结

1、确认认证服务器种类,不要弄错,确认服务器的支持特性;

2、认证授权需要确认交换机是否支持对应属性;

3、确认配置无问题时可以做test aaa测试,已确认问题所在大致方向;

4、核实配置细节。

END