Users Fail to Pass Authentication because of the Configuration of MA5200 That No Domain Name Is Contained in Account Transmitted to Radius

Publication Date:  2012-07-27 Views:  127 Downloads:  0
Issue Description
Version: Independent of version. 
Symptoms: It prompts both username and password are invalid during dialup of users, although it can be confirmed that the username entered is the same as that on RADIUS. 
Alarm Information
Null
Handling Process
1. When the user dials in, execute debug radius command, and radius returns the packets of code=3, as follows: 
Code    : 3                                                                   
  Len     : 64                                                                  
  ID      : 223                                                                 
  [Reply-Message(18)                  ] [44] [[Code 13]: Unable to find user in database]  
The information shows that the database contains no information of the user. 
2. Compare the data with radius, and radius has configured the user with account which is the same as that of client. 
3. Check the packets of code=1, and it is found that the account transmitted to Radius by MA5200F contains no domain name, but the account entered by the user does. Check the configurations of the user: the radius group referenced by the user domain is configured with "undo radius-server user-name domain-included". Delete the command, and users can come online. 
4. The problem is caused by the configuration of MA5200F that it does not send the domain name together with the account to radius, but the user account configured at radius contains the domain name, resulting in failure authentication of users. 
Root Cause
It prompts that both username and password are invalid, and it indicates that the communication with RADIUS is normal. The possible reasons include: 
1. The account configured the user by radius is false. 
2. Both username and password entered by user are false. 
Suggestions
For the problem alike, if the user is of radius authentication, use debug radius command to check the information of the user as to locate the reasons; if no radius packets(in the precondition that debug information can output), the packets of the user do not reach MA5200F; if there are only code=1 packets, it indicates that radius does not respond, and either radius or the links are problematic. If code=3 packets are returned, we can locate the reasons according to the reply information. We can use trace command (trace packets) to check the interaction process of user packets, and then locate the reasons of the problem. For the command above, see User Manual. 

END