CE6850 telnet服务用radius认证不成功

发布时间:  2016-02-27 浏览次数:  134 下载次数:  0
问题描述

CE6850开启telnet服务,用radius服务器认证不成功。

关键配置:

radius server group rsa
  radius server shared-key-cipher @%@%^B}h~KD701W2[{EL6f95$ 
  radius server authentication 114.112.x.x 1812
  radius server authentication 117.79.y.y 1812 secondary
  radius server retransmit 4
  radius server source interface LoopBack0
#
aaa
  authentication-scheme rsa
  authentication-mode radius local
#
  domain default_admin
    authentication-scheme rsa
    radius server group rsa
#
user-interface vty 0 4
    authentication-mode aaa
    user privilege level 3
#

处理过程

1.检查到radius服务器的连通性:

   ping -a带源测试,到radius服务器路由可达。

2.由于CE交换机没有S系列交换机test-aaa的命令,telnet客户端测试登陆后,到radius服务器上查看认证日志:

 可以看到用户名后面带了@default_admin的域。

3.在radius服务器上确认用户是不带域的。

需要在radius服务端将用户添加到default_admin域下(用户为XX@default_admin的格式);

或者在交换机上配置:

radius server group rsa 
    radius server user-name domain-excluded   //配置设备向RADIUS服务器发送的报文中的用户名不包含域名

根因
“default_admin”是用于管理员(如HTTPS、SSH、Telnet、Termianl和FTP)的域,也就是HTTPS、SSH、Telnet等管理的流量默认会到这个域下进行认证。default_admin配置radius认证后,用户名默认会带上@default_admin,而radius服务端用户没有带@default_admin,导致radius认证失败。
解决方案

有两种方法:

1.需要在radius认证服务器上将用户添加到default_admin域下(用户为XX@default_admin的格式);

2.在交换机radius服务器模板下,配置设备向RADIUS服务器发送的报文中的用户名不包含域名:

radius server group rsa
    radius server user-name domain-excluded   

END