S9700配置HWTACACS对接ACS认证失败

发布时间:  2016-08-10 浏览次数:  251 下载次数:  2
问题描述

某局点需要在S9700交换机上配置HWTACACS对接ACS供管理员管理,优先进行HWTACACS认证,当服务器没有响应,可以使用本地认证管理设备。实际认证时,认证失败,且当服务器没有响应时,使用本地认证失败。

处理过程

依次检查设备配置:

配置HWTACACS认证、授权、计费服务器的IP地址和端口。

配置HWTACACS服务器密钥

配置HWTACACS认证,授权方案,认证模式为先进行HWTACACS认证,后进行本地认证。

配置default_admin域,在域下采用HWTACACS认证方案、HWTACACS授权方案、HWTACACS计费方案、HWTACACS模板

关键配置如下

hwtacacs-server template hwtacacs

 hwtacacs-server authentication 10.129.16.200

 hwtacacs-server authorization 10.129.16.200

 hwtacacs-server accounting 10.129.16.200

 hwtacacs-server shared-key cipher %#%#,AhK9IUpY/2<t~0!^;oI4{<&M0i9zJrLYAMi!%8%%#%#

#

aaa

 authentication-scheme default

 authentication-scheme hwtacacs

  authentication-mode hwtacacs local

 authorization-scheme default

 authorization-scheme hwtacacs

  authorization-mode  hwtacacs local

 accounting-scheme default

 accounting-scheme hwtacacs

  accounting-mode hwtacacs

 recording-scheme hwtacacs

  recording-mode hwtacacs hwtacacs

 cmd recording-scheme hwtacacs

 domain default

 domain default_admin

  authentication-scheme hwtacacs

  accounting-scheme hwtacacs

  authorization-scheme hwtacacs

  hwtacacs-server hwtacacs

 local-user admin password irreversible-cipher %#%#Um>:57<:GP8E-S#KY_a-%Zw:$;sQxN\){]#M=S(0[k<{T)D[*&B<=YX<|i"C%#%#

 local-user admin service-type http

 local-user huawei password irreversible-cipher %#%#S$+f@T(^BY]M^OA)sIE.*S/z#K1pzH<p5.YeO2D&6Tn&5&52<5]Sl}34PDKK%#%#

 local-user huawei privilege level 15     

 local-user huawei service-type telnet terminal ssh

1.查看ACS上配置的用户名不带域名,需要在hwtacacs模板中增加配置,使用户名不带域名

 undo hwtacacs-server user-name domain-included

重新登录设备,发现登录成功

2.发现计费方案里计费模式没有local,在设备上重新配置计费模式,发现没有local模式
[Huawei-aaa-accounting-1]accounting-mode hwtacacs ?
  <cr>  Please press ENTER to execute command 
配置计费方案,并配置当开始计费失败时,允许用户上线
[Huawei-aaa-accounting-1]accounting start-fail online
ACS服务器断开连接,本地认证成功。
根因

1.用户登录设备默认会携带域名,而ACS中保存的用户名不带域名

2.华为设备默认计费失败用户会下线

解决方案

1.在hwtacacs模板中增加配置,使用户名不带域名

2.在计费方案里增加配置accounting start-fail online

建议与总结

1.在配置HWTACACS时,要注意ACS上存储的用户名是否带域名,若不带,华为设备上对应hwtacacs模板里需要执行命令undo hwtacacs-server user-name domain-included使用户名不带域名进行认证。

2.在配置计费场景时,由于S9700不能同时配置hwtacacs和local模式,需要执行命令accounting start-fail online使ACS出现故障时可以通过本地认证登录设备。

END