CE12804radius服务器挂掉后本地15级账号登陆后无法进入系统视图

发布时间:  2016-09-01 浏览次数:  68 下载次数:  0
问题描述
CE12804 radius服务器下发telnet的用户名和密码,为保证冗余性,要求radius服务器挂掉后能使用本地的用户名密码登陆,但现在radius服务器正常的时候登陆正常,当radius服务器挂掉后使用本地15级账号登陆无法进入系统视图
告警信息
 
 
处理过程

查看设备配置

#
aaa
local-user admin123 password irreversible-cipher $1a$_0;Q@/g!RJ$1B^fKq{<S+vfi5*tUQu*#@8^X;4/qQ|pL*W\"&P)$
local-user admin123 service-type telnet
local-user admin123 level 15
#
authentication-scheme default
  authentication-mode radius local
#
authorization-scheme default
  authorization-mode if-authenticated local
#
accounting-scheme default
  accounting-mode radius

已配置authentication-mode radius local参数,AAA视图下admin123权限也是15

 

根因

授权模式配置为if-authenticated  local导致,当授权模式为if-authenticated ,用户的级别会继承所属域或者当前VTY用户视图下配置的级别,而vty视图下的级别默认是0

解决方案

将授权模式改为本地授权解决

建议与总结

如果在一个授权方案中使用多种授权模式,if-authenticated 必须作为最后一种授权模式。

另外,如果在一个授权方案中使用多种授权模式,则授权模式的执行顺序为配置的先后顺序。只有在当前授权模式没有响应的情况下,设备才会采用下一种授权模式。

END