S5700 802.1X本地认证方式认证失败

发布时间:  2016-12-22 浏览次数:  772 下载次数:  0
问题描述

S5700配置802.1X本地认证,终端使用windows7系统自带的802.1X身份验证,认证失败。

关键配置如下:

#

domain default_admin

#

dot1x enable

dot1x authentication-method eap

dot1x dhcp-trigger

#

aaa

 authentication-scheme default

 authorization-scheme default

 accounting-scheme default

 domain default

 domain default_admin

  authentication-scheme default

 local-user huawei password cipher %@%@Wy8E#3khsDf/5qJI&

 local-user huawei service-type 8021x

#

interface GigabitEthernet0/0/1

 port link-type access

 dot1x enable

#

处理过程

1、“default”域是用于普通接入用户(如NAC)的域;“default_admin”域是用于管理员(如HTTPSSSHTelnetTermianlFTP)的域。因此要把全局认证配置在default域或者其他普通认证域中:

[HUAWEI] aaa

[HUAWEI-aaa] domain default

[HUAWEI-aaa-domain-default] authentication-scheme default

2、802.1x认证中,用户通过EAP报文与设备交互认证信息,而设备对EAP报文采用两种方式与RADIUS服务器交互认证信息:

·EAP终结:设备直接解析EAP报文,把报文中的用户认证信息封装到RADIUS报文中发送给RADIUS服务器进行认证。设备与RADIUS服务器之间的EAP终结认证方式可分为PAPCHAP两种。EAP终结认证时,设备在本地直接解析EAP报文的用户名和密码,用户信息可以在本地AAA模块进行认证。

·EAP中继(对应参数中的eap方式):设备不对接收到的包含用户认证信息的EAP报文作任何处理,直接封装到RADIUS报文中发送给RADIUS服务器完成认证。只有采用RADIUS认证时,802.1x用户的认证方式才可以配置为EAP中继方式。

因为是本地AAA的认证方式,需要802.1x用户的认证方式设置为EAP终结(chap或者pap):
[HUAWEI] dot1x authentication-method chap
3、windows7目前的身份验证方式中没有EAP终结的方式,不能实现本地认证。需要使用支持MD5质询(EAP终结)的认证方式的第三方客户端软件才能实现。

根因
1、802.1X认证用户不能在默认管理员域中认证。

2、
802.1X本地认证时,802.1X用户的认证方式必须配置为EAP终结方式。

3、
对于Windows7,需要使用支持MD5质询(EAP终结)的认证方式的第三方客户端软件才能实现本地认证。
解决方案
1、配置802.1X认证用户认证域为default域或者其他普通认证域。

2、配置
802.1X用户的认证方式为EAP终结方式。

3、
对于Windows7,更换为支持MD5质询(EAP终结)的认证方式的第三方客户端软件实现认证。
建议与总结

接入终端个数较多,802.1X本地认证会消耗系统资源影响性能,建议使用RADIUS等服务器认证的方式。

END