授权模板下先tacacs后local授权但域下不配置tacacs服务器导致管理用户不能登陆设备

发布时间:  2014-01-08 浏览次数:  137 下载次数:  0
问题描述

版本:
NE40E V600R003C00SPCA00

补丁:

SPH027

组网:
NE40E ------ Tacacs Server

问题描述:

Username: viettel

Password:

Error: Authentication fail

 

使用名为viettel的账号telnet登陆NE40E设备,发现用户不能登设备,返回Authentication fail错误

 

处理过程

1、 查看NE40E设备AAA视图下的配置:

local-user viettel password cipher %$%$og4K4Q_LPT~.$xN4538Rswne%$%$――本地配置了viettel帐户

local-user viettel service-type telnet ssh 

local-user viettel level 15

authentication-scheme viettel

  authentication-mode hwtacacs local    ----hwtacacslocal认证

authorization-scheme viettel

  authorization-mode hwtacacs local    ----hwtacacslocal授权

accounting-scheme viettel

  accounting-mode hwtacacs   ----hwtacacs计费

  accounting start-fail online  --- 开始计费失败仍然在线

  accounting interim-fail max-times 10 online 

domain default_admin

  authentication-scheme viettel

  authorization-scheme viettel

  accounting-scheme viettel

  adminuser-priority 15

客户希望通过域下删除hwtacacs-server viettel服务器,让viettel帐户走本地认证授权通过登陆设备。

2 进一步确认,如果授权模板下配置了hwtacacs授权,但域下不配置tacacs服务器则认为是配置错误,将返回错误,而不是继续走配置的本地授权。

 

根因

原因可能为:

1. NE40E设备配置问题;
2. Tacacs Server
服务器配置问题;
3.
设备链路问题。

本案例问题属于原因1

解决方案

NE40E设备上配置本地授权和不计费后,设备能正常登陆。
附上配置:

local-user viettel password cipher %$%$og4K4Q_LPT~.$xN4538Rswne%$%$
 
local-user viettel service-type telnet ssh 

local-user viettel level 15

authentication-scheme viettel

  authentication-mode hwtacacs local    
 
authorization-scheme viettel

  authorization-mode loca--- 本地授权
accounting-scheme viettel

  accounting-mode none     ---不计费
    accounting interim-fail max-times 10 online 

domain default_admin

  authentication-scheme viettel

  authorization-scheme viettel

  accounting-scheme viettel

  adminuser-priority 15

 

建议与总结

授权模板下配置hwtacacs授权,则域下必须配置tacacs服务器模板。

 

END