S5700 HWTACAS的telnet认证失败

发布时间:  2017-04-17 浏览次数:  360 下载次数:  0
问题描述

S5700 HWTACAS的telnet认证失败

大致配置如下:

#
hwtacacs-server template cips
 hwtacacs-server authentication 192.168.1.1
 hwtacacs-server authorization 192.168.1.1
 hwtacacs-server accounting 192.168.1.1
 hwtacacs-server source-ip 192.168.1.253
 hwtacacs-server shared-key cipher %^%#0|'//!zw9AF~Os*8d4.6[2.|60FYpJ5>bu"UO|}:%^%#
#
drop-profile default
#
aaa
 authentication-scheme cips
  authentication-mode hwtacacs local     
 authorization-scheme cips
  authorization-mode  hwtacacs local
 accounting-scheme cips
  accounting-mode hwtacacs
  accounting realtime 3
  accounting start-fail online
 domain cips
  authentication-scheme cips
  accounting-scheme cips
  authorization-scheme cips
  hwtacacs-server cips
#
user-interface vty 0 4
 authentication-mode aaa
 protocol inbound telnet    

处理过程

1、当前未指定HWtacacs的认证域为默认管理域,终端肯定会认证失败,需要增加命令:

[Huawei] domain cips admin

指定后终端认证仍然失败,报错:

Username:zhangyy@cips

Password:

Nov  7 2016 23:43:16+08:00 HUAWEI %%01SHELL/4/LOGINFAILED(s)[11]:Failed to login. (Ip=192.168.1.253, UserName=zhangyy@cips, Times=1, AccessType=TELNET, VpnName=)

Error: Authentication fail

2、根据提示可能用户名密码错误,或者HWtacacs设置问题,需要debug确认:

交换机已发送认证报文到hwtacacs,但是没有收到响应导致超时认证失败,请核实HWtacacs的设置,是否没设置正确
Nov  8 2016 00:49:01+08:00 HUAWEI %%01SHELL/4/LOGIN_FAIL_FOR_INPUT_TIMEOUT(s)[3]:Failed to log in due to timeout.(Ip=192.168.1.2, UserName=**, Times=2, AccessType=TELNET, VpnName=)
Nov  8 2016 00:45:45.100.6+08:00 HUAWEI AAA/7/DEBUG:
    User:zhangyy@cips Password:*** MAC:ffff-ffff-ffff
    Slot:9 SubSlot:255 Port:255 VLAN:0
    IP:192.168.1.2 AccessType:telnet AuthenType:PAP
    AdminLevel:0 EapSize:0 AuthenCode:ADMIN
    ulInterface:4294967295 ChallengeLen:255 ChapID:255
    LineType:3 LineIndex:0 PortType:5
    AcctSessionId:HUAWEI09255255000000000ac1c90000013
<HUAWEI>
Nov  8 2016 00:45:45.100.7+08:00 HUAWEI AAA/7/DEBUG:
AAA_MAIN initiate NormalAuthenReq event to AAA_AUTHEN module.
    CID:28 Result:0 Info:1178942516
<HUAWEI>
Nov  8 2016 00:45:45.100.8+08:00 HUAWEI AAA/7/DEBUG:User authentication domain name is cips
核实HWtacacs指定的NAS ip错误,更改后终端认证成功


根因

全局未指定认证域为默认管理域,HWtacacs设置问题

解决方案
指定新建的HWtacacs认证域为默认管理域,更改HWtacacs的NAS ip
建议与总结

请注意,交换机默认有且只有一个管理域admin,如果不指定此参数,则表示配置全局默认普通域。无法用于管理用户登录

END