NE40E RADIUS服务器不可达导致3级telnet权限用户只有0级权限

发布时间:  2011-05-04 浏览次数:  75 下载次数:  0
问题描述
用户通过NE40E接入网络,telnet 采用先RADIUS认证再local,DOMAIN采用默认域。
RADIUS和local对应帐号设置权限都是3级权限。
aaa    
 authentication-scheme  default0 
 authentication-mode radius local 
 local-user cs password simple cs
 local-user cs service-type telnet
 local-user cs level 3
故障现象:用户登录NE40E成功后发现只有0级权限。

Login authentication
Username:cs
Password:
Info: The max number of VTY users is 20, and the number
      of current VTY users on line is 4.
<NE40E>?
User view commands:
  cluster        Run cluster command
  display        Mfib proxy module
  hwtacacs-user  HWTACACS user
  language-mode  Specify the language environment 
  local-user     Local user
  ping           Ping function 
  quit           Exit from current command view
  return         Exit to user view 
  save           Save file
  super          Privilege current user a specified priority level 
  telnet         Establish a Telnet connection 
  trace          Trace route (switch) to host on Data Link Layer
  tracert        Trace route to host 
处理过程
1、用户的权限为1,说明用户已经通过了认证和授权,只是和RADIUS授权的级别不符,说明用户经过的不是RADIUS认证和授权。
2、检查用户登录时的用户名,发现没有携带域名,因而确认系统是使用缺省域来进行认证和授权的。
怀疑是某处配置问题导致用户权限不够。




<NE40E>disp c c aaa 
#
aaa
 local-user cs password simple cs
 local-user cs service-type telnet
 local-user cs level 3
 authentication-scheme default
  authentication-mode  radius  local
 #
 authorization-scheme default
  authorization-mode  if-authenticated//授权方案采用的授权模式是if-authenticated认证
 #
 accounting-scheme default
 accounting-scheme huawei
 #
 domain default
发现缺省域认证方案采用的认证模式是:首次采用RADIUS认证,二次认证为本地认证。
授权方案采用的授权模式是if-authenticated认证。
当Radius服务器不可达时,用户使用Local认证方式。因为配置的授权方式是if-authenticated,这种授权方式对Local不生效,故系统返回给认证成功的用户是VTY默认的权限0级。
如果授权方案采用的是Local授权,系统返回给用户的权限则会是本地为用户设置的权限。
user-interface vty 0 4
 authentication-mode aaa
 idle-timeout 60 0
配置授权方案首先使用if-authenticated授权模式,再本地授权。 
完成上述操作后,登录的用户为3级权限,故障排除。
 authorization-scheme default
  authorization-mode  if-authenticated  local
或者把user-interface vty 0 4下的权限改为三级也可以解决问题:
user-interface vty 0 4
 authentication-mode aaa
 user privilege level 3
根因

配置问题导致
缺省域认证方案采用的认证模式是:首次采用RADIUS认证,二次认证为本地认证。
授权方案采用的授权模式是if-authenticated认证。
当Radius服务器不可达时,用户使用Local认证方式。因为配置的授权方式是if-authenticated,这种授权方式对Local不生效,故系统返回给认证成功的用户是VTY默认的权限0级。

解决方案
配置授权方案首先使用if-authenticated授权模式,再本地授权。  ,登录的用户为3级权限,故障排除。
 authorization-scheme default
  authorization-mode  if-authenticated  local
或者把user-interface vty 0 4下的权限改为三级也可以解决问题:
user-interface vty 0 4
 authentication-mode aaa
 user privilege level 3
建议与总结
当登录的用户不带域名时,系统使用缺省域来进行认证和授权。如果使用本地认证,只有授权方案采用Local授权,系统返回给用户的权限才会是本地为用户设置的权限,否则系统返回给用户的权限是VTY默认的权限0级。
缺省情况下,Console口用户界面对应的默认命令访问级别是3,而其他用户界面对应的默认级别是0。

END