S5700交换机SSH使用远端认证方式时无法认证

发布时间:  2016-12-21 浏览次数:  867 下载次数:  7
问题描述

s5700交换机SSH使用远端认证方式时无法认证成功,本地AAA认证可以成功

使用test-aaa时用户可以正常通过radius测试,但是当使用SSH登陆时设备提示用户名密码错误,设备告警信息可以查看有SSH用户登录记录但因未匹配正确的用户名密码。

当用户使用SSH本地AAA内账号登陆时可以正常登陆,对telnet登陆时也可以使用AAA本地账号或radius远端账号登陆。

告警信息

告警信息:

Nov 13 2007 23:06:51+08:00 zg-2(e)-o-s1 %%01SSH/4/SSH_FAIL(s)[14]:Failed to login through SSH. (IP=10.52.242.5, VpnInstanceName= , UserName=0109490, Times=1, FailedReason=The user login timed out)

Nov 13 2007 23:06:07+08:00 zg-2(e)-o-s1 %%01SSH/4/SSH_FAIL(s)[15]:Failed to login through SSH. (IP=10.52.242.5, VpnInstanceName= , UserName=0109490, Times=2, FailedReason=User password authentication failed)

Nov 13 2007 23:05:58+08:00 zg-2(e)-o-s1 %%01SSH/4/SSH_FAIL(s)[16]:Failed to login through SSH. (IP=10.52.242.5, VpnInstanceName= , UserName=0109490, Times=1, FailedReason=User password authentication failed)

处理过程

S5700交换机SSH使用远端认证方式时无法认证成功,本地AAA认证可以成功

使用test-aaa时用户可以正常通过radius测试,但是当使用SSH登陆时设备提示用户名密码错误,设备告警信息可以查看有SSH用户登录记录但因未匹配正确的用户名密码。

当用户使用SSH本地AAA内账号登陆时可以正常登陆,对telnet登陆时也可以使用AAA本地账号或radius远端账号登陆。

1、测试test-aaa radius账号密码是可以正常通过

2、测试本地AAA账号进行SSH登陆可以正常通过

3、测试远端telnet登陆可以通过

4、查看SSH登陆失败时dubgg信息发现用户可以正常上线但无法匹配到正确的用户密码信息

5、排查设备配置信息,查看配置文档

根因

设备未配置ssh authentication-type default password,

当用户使用远端radius认证时优先采用 ssh user 用户登录,第一次登陆使用SSH user去跟服务器去认证,当与服务器上有该用户信息时则通过认证(当用户不需要SSH用户时 SSH USER 配置可以删除);

当用户不存在时,其次匹配认证服务器上的用户信息,当AAA使用TACACS服务器认证且用户使用SSH接入时,网络管理员需要在服务器上指定SSH用户用于认证。但在很多情况下,SSH服务器很难获知TACACS服务器上的用户信息。在没有TACACS服务器用户信息的情况下,可通过配置该命令,将认证方式设定为password方式,这样用户就可以直接登录到设备,而不必在设备上进行SSH用户相关的配置。

而在该案例中,由于没有配置默认的认证方式,TACACS服务器中存储的账号信息没有认证类型,所以出现认证失败的情况。

解决方案

设备配置ssh authentication-type default password

建议与总结

1、有radius认证时配置ssh authentication-type default password

2、建议配置本地 local 用户,防止当radius失效时用户可管理设备

END