- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-AAA故障处理手册
本章节下载: 02-AAA故障处理手册 (528.67 KB)
管理员登录设备后没有部分命令行的执行权限,系统打印提示信息 “Permission denied.”。
本类故障的主要原因为,给用户授权的用户角色权限过小。
本类故障的诊断流程如图1-1所示。
(1) 检查用户角色否为自定义用户角色。
请以超级管理员身份(即具有network-admin或者level-15用户角色)登录设备,执行display line命令查看登录用户线的认证方式,并根据不同的认证方式,采取不同的处理步骤:
<Sysname> display line
Idx Type Tx/Rx Modem Auth Int Location
0 CON 0 9600 - N - 0/0
+ 81 VTY 0 - N - 0/0
+ 82 VTY 1 - P - 0/0
+ 83 VTY 2 - A - 0/0
...
¡ 对于none和password认证方式(Auth字段:N、P),检查对应用户线视图下的用户角色是否为自定义用户角色。如果不是自定义用户角色,则通过user-role role-name命令设置权限更高的系统预定义角色。
¡ 对于scheme认证方式(Auth字段:A),首先查看登录用户认证域下配置的认证方法:
- 如果采用了Local认证方法,则通过display local-user命令查看用户角色是否为自定义用户角色。如果不是自定义用户角色,则通过authorization-attribute user-role role-name命令设置权限更高的系统预定义角色(下例为network-admin)。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] authorization-attribute user-role network-admin
- 如果采用了远程认证方法,则联系远程认证服务器管理员,为用户授权权限更高的系统预定义角色。
(2) 检查不允许执行的命令行是否在自定义用户角色允许的权限范围内。
a. 执行命令display role name role-name,查看用户的自定义角色拥有的命令行权限规则。
b. 如果用户所执行的命令行不在所属用户角色拥有的命令行权限范围之内,则为其更换权限较高的系统域定义用户角色,或者通过命令rule为用户的自定义角色增加对应的命令行权限规则。需要注意的是,自定义用户角色即使配置了较高的权限规则,仍然有部分无法支持的命令行,这些命令行的明细请查看“基础配置指导”中的“RBAC”手册。
(3) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
无
无
管理员登录设备后无法创建或修改本地用户,系统打印提示信息“Insufficient right to perform the operation.”。
本类故障的主要原因为,给用户授权的用户角色权限不具备修改目标本地用户配置的权限。
本类故障的诊断流程如图1-2所示。
(1) 检查登录用户的角色是否为预定义的超级管理员角色,即为network-admin、level-15之一。
只有上述预定义用户角色才拥有创建本地用户的权限,其它用户角色只有进入自身本地用户视图的权限。如果登录用户不拥有如上预定义用户角色,则为其授权其中之一。如果重新授权后,故障仍未排除,请继续定位。
此步骤仅适用于无权限创建本地用户,若无权限修改本地用户,请执行步骤(2)。
(2) 比较登录用户和目标用户的权限范围。
执行命令display role name role-name,分别查看登录用户和目标用户的角色权限,并比较两者的权限大小。如果操作者权限较小,则为其更换拥有更高权限的用户角色。
(3) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
无
无
管理员无法成功登录设备,设备也没有提供三次登录尝试机会。例如,使用Telnet登录时,用户输入用户名和密码后,设备登录界面上既未打印提示信息“AAA authentication failed”,也未再次提示用户输入用户名和密码。
本类故障的主要原因为,没有为用户授权用户角色。
本类故障的诊断流程如图1-3所示。
(1) 检查是否为用户授权了用户角色。
请以超级管理员身份(即具有network-admin或者level-15用户角色)登录设备,执行display line命令查看登录用户线的认证方式,并根据不同的认证方式,采取不同的处理步骤:
<Sysname> display line
Idx Type Tx/Rx Modem Auth Int Location
0 CON 0 9600 - N - 0/0
+ 81 VTY 0 - N - 0/0
+ 82 VTY 1 - P - 0/0
+ 83 VTY 2 - A - 0/0
...
¡ 对于none和password认证方式(Auth字段:N、P),检查对应用户线视图下是否存在用户角色配置。如果不存在,则通过user-role role-name命令设置用户角色(下例中为abc)。
<Sysname> system-view
[Sysname] line vty 0 63
[Sysname-line-vty0-63] user-role abc
¡ 对于scheme认证方式(Auth字段:A),首先查看登录用户认证域下配置的认证方法:
如果采用了Local认证方法,则执行display local-user命令查看该用户的授权用户角色情况,如果显示信息中的“User role list:”字段为空,则表示该用户没有被授权任何用户角色。
<Sysname> display local-user user-name test class manage
Total 1 local users matched.
Device management user test:
State: Active
Service type: Telnet
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list:
...
此时,需要进入该本地用户视图,执行authorization-attribute user-role命令为用户授权角色(下例中为abc)。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] authorization-attribute user-role abc
如果采用了远程认证方法,则联系远程认证服务器管理员确认是否为该用户授权了用户角色,若无,请为该用户添加用户角色属性。以Free RADIUS服务器为例,如果需要在users文件中添加用户角色network-admin,则需要编辑的脚本如下:
user Cleartext-Password := "123456"
H3C-User-Roles ="shell:roles=\"network-admin\""
其它RADIUS服务器上的用户角色添加方式请以实际情况为准。
(2) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
无
无
管理员登录设备失败,系统打印如下形式的日志信息:
Sysname LOGIN/5/LOGIN_INVALID_USERNAME_PWD: -MDC=1; Invalid username or password from xx.xx.xx.xx.
本类故障的主要原因为,用户输入的用户名中含有非法字符。
本类故障的诊断流程如图1-4所示。
本处理步骤仅适用于SSH及Telnet登录用户。
(1) 检查用户输入的用户名是否含有非法字符。
用户登录设备时,系统会检查用户输入的纯用户名以及域名的有效性,如果纯用户名中包含了非法字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,域名中包含“@”,则不允许登录。此时,建议用户再次尝试登录,并输入正确的用户名。
(2) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
无
· LOGIN_INVALID_USERNAME_PWD
管理员采用本地认证方式登录设备失败。如果设备上同时打开了Local-Server的事件调试信息开关(通过执行debugging local-server event命令),系统会打印如下形式的调试信息:
*Aug 18 10:36:58:514 2021 Sysname LOCALSER/7/EVENT: -MDC=1;
Authentication failed, user password is wrong.
或者
*Aug 18 10:37:24:962 2021 Sysname LOCALSER/7/EVENT: -MDC=1;
Authentication failed, user "t4" doesn't exist.
本类故障的常见原因主要包括:
· 用户输入的密码错误。
· 本地用户名不存在。
本类故障的诊断流程如图1-5所示。
(1) 检查本地用户名是否存在。
执行display local-user命令查看是否存在与登录用户名相同的设备管理类本地用户。
¡ 如果不存在该本地用户,则需要使用local-user命令创建设备管理类本地用户(下例中用户名为test),并通知该用户再次尝试登录设备。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test]
¡ 如果存在该本地用户,请执行步骤(2)。
(2) 确认本地用户密码是否正确。
如果用户登录时系统提示密码错误,则进入对应的本地用户视图后,执行password命令重置密码(下例中为123456TESTplat&!),并通知该用户再次尝试登录设备。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] password simple 123456TESTplat&!
(3) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息、调试信息。
无
无
管理员采用本地认证方式登录设备失败。如果设备上同时打开了Local-Server的事件调试信息开关(通过执行debugging local-server event命令),系统会打印如下形式的调试信息::
*Aug 7 17:18:07:098 2021 Sysname LOCALSER/7/EVENT: -MDC=1; Authentication failed, unexpected user service type 64 (expected = 3072).
本类故障的主要原因为,用户的接入类型与设备上配置的本地用户服务类型不匹配,即用户的接入类型不在配置的服务类型范围之内。
本类故障的诊断流程如图1-6所示。
(1) 检查用户接入类型是否在本地用户配置的服务类型范围之内。
a. 执行display local-user命令查看本地用户的配置信息,用户服务类型由“Service type:”字段标识。
<Sysname> display local-user user-name test class manage
Total 1 local users matched.
Device management user test:
State: Active
Service type: Telnet
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list:
...
b. 在该用户的本地用户视图下,通过执行service-type type命令修改用户的服务类型为实际使用的接入类型(下例中为SSH)。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] service-type ssh
(2) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息、调试信息。
无
无
管理员登录设备失败指定的次数后,在一定时间内被禁止再次登录设备。
本类故障的常见原因主要包括:
· 设备上开启了Login用户攻击防范功能。开启该功能后,会导致Login用户登录失败指定的次数后,若用户的IP地址被加入黑名单,则设备将会丢弃来自该IP地址的报文,使得该用户不能在指定的阻断时长内进行登录操作。
· 用户采用本地认证方式登录设备,且设备上开启了Password Control功能。用户登录认证失败后,系统会将该用户加入密码管理的黑名单,并根据配置的处理措施对其之后的登录行为进行相应的限制。当用户登录失败次数超过指定值后,系统禁止该用户登录,经过一段时间后,再允许该用户重新登录。
本类故障的诊断流程如图1-7所示。
(1) 等待一定时间后,尝试重新登录。
如果因为偶尔密码输入有误导致的禁止登录,属于正常现象,建议等待一定的时间后再次尝试重新登录。如果再次使用正确的用户名和密码登录设备遇到同样的问题,请更换其它可登录设备的管理员账号继续下面的处理步骤。
(2) 确认用户被阻断后能否发起登录连接。
¡ 如果该用户被阻断后,仍然可以向设备发起登录连接,但无法认证成功,则在任意视图下执行display password-control blacklist命令查看该用户是否被加入了黑名单。如果该用户在黑名单中,且显示信息中的Lock flag为lock,则表示用户被锁定了。
<Sysname> display password-control blacklist
Per-user blacklist limit: 100.
Blacklist items matched: 1.
Username IP address Login failures Lock flag
test 3.3.3.3 4 lock
对于加入黑名单的用户,有两种处理方式:
- 在系统视图下执行undo password-control enable命令关闭全局密码管理功能。
<Sysname> system-view
[Sysname] undo password-control enable
- 在用户视图下执行reset password-control blacklist命令清除密码管理黑名单中的用户(下例中为用户test)。
<Sysname> reset password-control blacklist user-name test
¡ 如果该用户被阻断后,根本无法向设备发起登录连接,则执行步骤(3)。
(3) 检查是否开启了Login用户攻击防范功能。
如果当前配置中存在attack-defense login开头的相关命令,则可以根据需要关闭Login用户攻击防范功能,或者改变Login用户登录连续失败的最大次数以及登录失败后的阻断时长。
¡ 通过执行undo attack-defense login enable命令关闭Login用户攻击防范功能,并通过执行undo blacklist global enable命令关闭与之配合的全局黑名单过滤功能。
<Sysname> system-view
[Sysname] undo attack-defense login enable
[Sysname] undo blacklist global enable
¡ 通过执行attack-defense login max-attempt命令增加连续登录失败的最大次数,增大用户登录的尝试机会(下例为5次)。
<Sysname> system-view
[Sysname] attack-defense login max-attempt 5
¡ 通过执行attack-defense login block-timeout命令减小阻断时长(下例为1分钟),让用户尽快重新登录。
<Sysname> system-view
[Sysname] attack-defense login block-timeout 1
执行以上操作可能会减弱设备防范Login用户DoS攻击的力度,请慎重执行。
(4) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
无
无
管理员登录设备失败后,控制台无响应一定的时间,期间用户无法执行任何操作。
本类故障的主要原因主要为,设备上配置了Login延时认证功能。开启本功能后,用户登录失败后,系统将会延迟一定的时长之后再允许用户进行认证。
本类故障的诊断流程如图图1-8所示。
(1) 检查是否开启了Login延时认证功能。
如果当前配置中存在attack-defense login reauthentication-delay命令,则可以根据需要关闭Login延时认证功能,或修改重认证等待时长。
¡ 通过执行undo attack-defense login reauthentication-delay命令关闭延时认证功能。
<Sysname> system-view
[Sysname] undo attack-defense login reauthentication-delay
¡ 通过执行attack-defense login reauthentication-delay seconds命令减小用户登录失败后重新进行认证的等待时长(下例中为10秒)。
<Sysname> system-view
[Sysname] attack-defense login reauthentication-delay 10
执行以上操作可能会减弱设备防范Login用户字典序攻击的力度,请慎重执行。
(2) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
无
无
使用同一用户名接入设备的本地认证用户达到一定数量后,后续使用该用户名登录设备失败。
如果设备上同时打开了Local-Server的事件调试信息开关(通过执行debugging local-server event命令),系统会打印如下形式的调试信息:
*Aug 18 10:52:56:664 2021 Sysname LOCALSER/7/EVENT: -MDC=1;
Authentication failed, the maximum number of concurrent logins already reached for the local user.
本类故障的主要原因为,设备上设置了使用当前本地用户名接入设备的最大用户数。
本类故障的诊断流程如图1-9所示。
图1-9 使用相同用户名的上线用户数达上限后的故障诊断流程图
(1) 检查是否设置了使用当前本地用户名接入设备的最大用户数。
执行display local-user命令,查看该用户名的本地用户配置信息。如果其中的“Access limit:”字段取值为Enabled,则表示设置了使用当前本地用户名接入设备的最大用户数(下例中为2)。
<Sysname> display local-user user-name test class manage
Total 1 local users matched.
Device management user test:
Service type: SSH/Telnet
Access limit: Enabled Max access number: 2
Service type: Telnet
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: test
...
可以根据需要在本地用户视图下取消或者改变使用当前本地用户名接入设备的最大用户数。
¡ 通过执行undo access-limit命令取消使用当前本地用户名接入的用户数限制。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] undo access-limit
¡ 通过执行access-limit max-user-number命令增加最大用户数(下例中为10)。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] access-limit 10
(2) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
无
无
使用同一登录方式接入设备的用户达到一定数量后,后续该类用户登录设备失败。
如果设备上同时打开了相关接入模块的事件调试信息开关,系统会打印如下形式的调试信息:
%Aug 18 10:57:52:596 2021 Sysname TELNETD/6/TELNETD_REACH_SESSION_LIMIT: -MDC=1; Telnet client 1.1.1.1 failed to log in. The current number of Telnet sessions is 5. The maximum number allowed is (5).
本类故障的主要常见原因为,设备上设置了采用指定登录方式登录设备并同时在线的用户数。
本类故障的诊断流程如图1-10所示:
图1-10 使用相同登录方式接入用户数达到上限后的故障诊断流程图
(1) 检查是否设置了采用指定登录方式登录设备并同时在线的用户数。
如果当前配置中存在aaa session-limit命令,则可以根据需要在系统视图下通过aaa session-limit { ftp | http | https | ssh | telnet } max-sessions命令改变使用当前登录方式接入设备的最大用户数(下例中为32)。
<Sysname> system-view
[Sysname] aaa session-limit telnet 32
(2) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
无
无
因为服务器无响应导致使用RADIUS认证服务器认证/授权/计费失败。如果设备上同时打开了RADIUS的事件调试信息开关(通过执行debugging radius event命令),系统会打印如下形式的调试信息:
*Aug 8 17:49:06:143 2021 Sysname RADIUS/7/EVENT: -MDC=1; Reached the maximum retries
本类故障的常见原因主要包括:
· RADIUS服务器上配置的共享密钥与接入设备上配置的共享密钥不一致。
· RADIUS服务器上没有添加接入设备的IP地址或者添加的IP地址不正确。
· RADIUS服务器与接入设备之间的网络存在问题,例如中间网络存在防火墙时,防火墙阻止了RADIUS服务器提供AAA服务的端口号(缺省认证端口号:1812,缺省计费端口号:1813)。
本类故障的诊断流程如图1-11所示。
图1-11 RADIUS服务器无响应的故障诊断流程图
(1) 检查RADIUS服务器上配置的共享密钥与接入设备上配置的是否一致。
¡ 如果共享密钥配置不一致,则:
- 在接入设备上,需要在RADIUS方案视图下执行key authentication、key accounting命令分别重新配置认证、计费共享密钥(下例中认证密钥为123、计费密钥为456)。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key authentication simple 123
[Sysname-radius-radius1] key accounting simple 456
- 在RADIUS服务器上,重新配置与接入设备交互RADIUS报文的共享密钥,保证与接入设备上配置的一致。
¡ 如果共享密钥配置一致,则执行步骤(2)。
(2) 检查RADIUS服务器上是否添加了接入设备的IP地址或者添加的IP地址是否正确。
RADIUS服务器上添加的设备IP地址必须是接入设备发送RADIUS报文的源IP地址。接入设备发送RADIUS报文使用的源IP地址可以通过相关命令设置。
接入设备按照以下顺序选择发送RADIUS报文使用的源IP地址:
a.
b. RADIUS方案视图下配置的源IP地址(通过source-ip命令)。
c. 系统视图下的配置的源IP地址(通过radius source-ip命令)。
d. RADIUS方案视图下配置的NAS-IP地址(通过nas-ip命令)。
e. 系统视图下的配置的源NAS-IP地址(通过radius nas-ip命令)。
f. 发送RADIUS报文的出接口的IP地址。
(3) 检查设备和服务器之间的网络是否存在问题。
首先使用ping等手段排除设备与服务器之间的网络可达性,然后排查该网络中是否存在防火墙等设备。通常,如果网络中存在防火墙设备且不允许目的UDP端口号为RADIUS服务器端口号的报文通过(缺省的RADIUS认证端口号为1812,缺省的RADIUS计费端口号为1813),RADIUS报文将被丢弃。
(4) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息、调试信息。
无
无
使用HWTACACS认证服务器认证/授权/计费失败。如果同时在设备上执行debugging hwtacacs event命令打开HWTACACS事件调试信息开关,系统打印的事件调试信息中将出现“Connection timed out.”。
本类故障的常见原因主要包括:
· HWTACACS服务器上配置的共享密钥与接入设备上配置的共享密钥不一致。
· HWTACACS服务器上没有添加接入设备的IP地址或者添加的IP地址不正确。
· HWTACACS服务器与接入设备之间的网络存在问题,例如中间网络存在防火墙时,防火墙阻止了HWTACACS服务器提供AAA服务的端口号(缺省认证/授权/计费端口号为49)。
本类故障的诊断流程如图1-12所示。
图1-12 HWTACACS服务器无响应的故障诊断流程图
(1) 检查HWTACACS服务器上配置的共享密钥与接入设备上配置的是否一致。
¡ 如果共享密钥配置不一致,则:
- 在接入设备上,需要在HWTACACS方案视图下执行key authentication、key authorization、key accounting命令重新配置认证、授权、计费共享密钥(下例中认证和授权密钥为123、计费密钥为456)。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key authentication simple 123
[Sysname-hwtacacs-hwt1] key authorization simple 123
[Sysname-hwtacacs-hwt1] key accounting simple 456
- 在HWTACACS服务器上,重新配置与接入设备交互HWTACACS报文的共享密钥,保证与接入设备上配置的一致。
¡ 如果共享密钥配置一致,则执行步骤(2)。
(2) 检查HWTACACS服务器上是否添加了接入设备的IP地址或者添加的IP地址是否正确。
HWTACACS服务器上添加的设备IP地址必须是接入设备发送HWTACACS报文的源IP地址。接入设备发送HWTACACS报文使用的源IP地址可以通过相关命令设置。
接入设备按照以下顺序选择发送HWTACACS报文使用的源IP地址:
a. HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)。
b. 系统视图下的配置的源IP地址(通过hwtacacs nas-ip命令)。
c. 发送HWTACACS报文的出接口的IP地址。
(3) 检查设备和服务器之间的网络是否存在问题。
首先使用ping等手段排除设备与服务器之间的网络可达性,然后排查该网络中是否存在防火墙等设备。通常,如果网络中存在防火墙设备且不允许目的TCP端口号为HWTACACS服务器端口号的报文通过(缺省的HWTACACS认证/授权/计费端口号为49),HWTACACS报文将被丢弃。
(4) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息、调试信息。
无
无
由于设备不支持RADIUS服务器下发的Login-Service属性值,导致用户认证失败。
打开设备上RADIUS的报文调试信息开关(通过执行debugging radius packet命令),在如下形式的调试信息中查看到服务器下发的Login-Service属性类型为设备不支持的类型:
*Aug 3 02:33:18:707 2021 Sysname RADIUS/7/PACKET:
Service-Type=Framed-User
Idle-Timeout=66666
Session-Timeout=6000
Login-Service=TCP-Clear
本类故障的主要原因为,用户登录的业务类型与服务器下发的Login-Service属性所指定的业务类型不一致。
Login-Service属性由RADIUS服务器下发给用户,标识认证用户的业务类型。当前设备支持的Login-Service属性取值如下:
· 0:Telnet(标准属性)
· 50:SSH(扩展属性)
· 51:FTP(扩展属性)
· 52:Terminal(扩展属性)
· 53:HTTP(扩展属性)
· 54:HTTPS(扩展属性)
可以通过命令行设置设备对Login-Service属性的检查方式,控制设备对用户进行业务类型一致性检查的方式。
本类故障的诊断流程如图1-13所示。
图1-13 用户接入类型与RADIUS服务器下发的Login-Service属性值不匹配的故障诊断流程图
(1) 检查RADIUS服务器下发的Login-Service属性与接入类型是否匹配。
在接入设备上执行display radius scheme命令,查看RADIUS方案下的“Attribute 15 check-mode”字段取值:
¡ 取值为Loose,表示采用松散检查方式,即使用Login-Service的标准属性值对用户业务类型进行检查。对于SSH、FTP、Terminal用户,在RADIUS服务器下发的Login-Service属性值为0(表示用户业务类型为Telnet)时才,这类用户才能够通过认证。
¡ 取值为Strict,表示采用严格检查方式,即使用Login-Service的标准属性值以及扩展属性值对用户业务类型进行检查。对于SSH、FTP、Terminal用户,当RADIUS服务器下发的Login-Service属性值为对应的扩展取值时,这类用户才能够通过认。
如果RADIUS服务器下发给用户的Login-Service属性不属于设备支持的Login-Service属性范围,则可以选用如下方法之一解决:
¡ 在RADIUS服务器上,设置服务器不下发Login-Service属性或者修改下发的属性值为接入设备支持的取值。
¡ 在接入设备上,进入相应的RADIUS方案,通过执行attribute 15 check-mode命令修改对Login-Service属性的检查方式(下例中为松散检查方式)。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 15 check-mode loose
(2) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、调试信息、告警信息。
无
无
管理员采用本地认证登录设备失败。
本类故障的常见原因主要包括:
· 用户线下的认证方式配置错误。
· VTY用户线下支持的协议类型不正确。
· ISP域下配置的认证、授权、计费方案错误。
· 本地用户不存在、用户密码错误,或服务类型错误。
· 本地用户接入数量达到上限。
· 登录设备的用户数量到达上限。
· 全局密码管理功能开启的情况下,设备本地的lauth.dat文件异常。
本类故障的诊断流程如图1-14所示。
Web、NETCONF over SOAP、FTP类登录故障无需关心用户线(类)下的配置,其它排障步骤相同。
(1) 检查用户线下的配置。
执行line vty first-number [ last-number ]命令进入指定的VTY用户线视图,并通过display this命令查看如下配置是否准确:
¡ authentication-mode是否配置为scheme。
¡ 对于Telnet登录:protocol inbound是否配置为telnet或为缺省情况。
¡ 对于SSH登录:protocol inbound是否配置为ssh或为缺省情况。
(2) 检查用户线类下的配置。
(3) 用户线视图下的配置优先于用户线类视图下的配置。若用户线视图下未配置,则需要继续检查用户线类视图下的配置。
(4) 执行line class vty命令进入VTY用户线类视图,并通过display this命令查看如下配置是否准确:
¡ authentication-mode是否配置为scheme。
¡ 对于Telnet登录:protocol inbound是否配置为telnet或为缺省情况。
¡ 对于SSH登录:protocol inbound是否配置为ssh或为缺省情况。
如果用户线和用户线类下的配置均不准确,请按照需要在指定的用户线或用户线类下设置认证方案为scheme,并设置用户登录支持的协议类型。
(5) 检查ISP域下的认证、授权、计费方案配置是否准确。
执行display domain命令,查看显示信息:
¡ 如果用户的登录用户名中携带了域名(假设为test),则查看该域下的“Login authentication scheme:”字段取值是否为Local。如果该域下无“Login authentication scheme:”字段,再查看“Default authentication scheme:”字段取值是否为Local。
<Sysname> display domain test
Domain: test
State: Active
Login authentication scheme: Local
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out action: Offline
Service type: HSI
Session time: Exclude idle time
NAS-ID: N/A
DHCPv6-follow-IPv6CP timeout: 60 seconds
Authorization attributes:
Idle cut: Disabled
Session timeout: Disabled
IGMP access limit: 4
MLD access limit: 4
¡ 如果用户的登录用户名中未携带域名,则在系统视图下执行display this命令查看是否存在domain default enable isp-name配置。(下例中缺省域名为system)。
#
domain default enable system
#
- 如果存在该配置,则执行display domain命令查看isp-name域下的“Login authentication scheme:”字段取值是否为“Local”。如果该域下无“Login authentication scheme:”字段,再查看“Default authentication scheme:”字段取值是否为“Local”。
- 如果不存在该配置,则执行display domain命令查看system域下的“Login authentication scheme:”字段取值是否为“Local”。如果system域下无“Login authentication scheme:”字段,再查看“Default authentication scheme:”字段取值是否为“Local”。
授权、计费配置确认方式与认证类似,不再赘述。如果以上配置不准确,请在相关ISP下配置Login用户的认证/授权/计费方案均为Local。
(6) 检查用户名和密码是否正确。
执行display local-user命令查看是否存在对应的本地用户配置。
¡ 如果本地用户存在,则执行local-user username class manage命令进入本地用户视图,然后通过display this命令查看该视图下是否配置了密码,以及service-type配置是否为所需的服务类型。
- 若需要用户密码,则尝试重置一次密码(下例中为123456TESTplat&!)。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] password simple 123456TESTplat&!
- 若服务类型错误,则配置与登录方式匹配的服务类型(下例中为SSH)。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] service-type ssh
¡ 如果本地用户不存在,则执行local-user username class manage命令创建一个设备管理类本地用户(下例中用户名为test),并按需配置密码和服务类型。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test]
(7) 检查使用该本地用户名接入的用户数是否达到上限。
在本地用户视图下执行display this命令查看是否存在access-limit配置。
¡ 如果access-limit配置存在,则执行display local-user username class manage命令查看“Current access number:”字段取值是否达到配置的上限值。如果达到上限值,则根据需要采取以下措施之一:
- 在该本地用户视图下执行access-limit命令扩大用户数上限(下例中为20)。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] access-limit 20
- 在用户视图下执行free命令强制其它在线用户下线(下例中为强制释放VTY1上建立的所有连接)。
<Sysname> free line vty 1
Are you sure to free line vty1? [Y/N]:y
[OK]
¡ 如果access-limit配置不存在,或者用户数未达到上限值,则继续定位。
(8) 检查指定登录类型的在线用户数是否到达上限。
a. 在系统视图下执行display this命令查看是否存在aaa session-limit的配置,若无此配置,则说明采用了缺省值32。
#
aaa session-limit ftp 33
domain default enable system
#
b. 执行display users查看当前用户线的用户登录情况,确认是否已到用户数上限。
c. 如果在线用户数到达上限,则根据需要采取以下措施之一:
- 在系统视图下执行aaa session-limit命令扩大用户数上限。
- 在用户视图下执行free命令强制其它在线用户下线。
(9) 检查本地lauth.dat文件是否正常。
开启全局密码管理功能后,设备会自动生成lauth.dat文件记录本地用户的认证、登录信息。如果手工删除或修改该文件,会造成本地认证异常。因此,请首先执行display password-control命令查看设备上是否开启了全局密码管理功能。
¡ 如果该文件不存在、大小为0或者很小(若小于20B,则大概率发生了异常),请优先联系技术支持人员协助处理,若当前配置需求紧迫,可尝试重新开启全局密码管理功能来解决此问题。
<Sysname> dir
Directory of flash: (EXT4)
0 drw- - Aug 16 2021 11:45:37 core
1 drw- - Aug 16 2021 11:45:42 diagfile
2 drw- - Aug 16 2021 11:45:57 dlp
3 -rw- 713 Aug 16 2021 11:49:41 ifindex.dat
4 -rw- 12 Sep 01 2021 02:40:01 lauth.dat
...
<Sysname> system-view
[Sysname] undo password-control enable
[Sysname] password-control enable
¡ 若未开启,则忽略此步骤。
(10) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息、诊断信息。
¡ 打开Local-Server调试信息开关(通过debugging local-server all命令),收集设备的调试信息。
· hh3cLogInAuthenFailure (1.3.6.1.4.1.25506.2.2.1.1.3.0.3)
· 模块名:HH3C-SSH-MIB
· hh3cSSHUserAuthFailure (1.3.6.1.4.1.25506.2.22.1.3.0.1)
· LOGIN/5/LOGIN_FAILED
· SSHS/6/SSHS_AUTH_FAIL
管理员采用RADIUS认证登录设备失败。
本类故障的常见原因主要包括:
· 用户线下的认证方式配置错误。
· VTY用户线下支持的协议类型不正确。
· ISP域下配置的认证、授权、计费方案错误。
· 与RADIUS服务器交互失败。
· RADIUS服务器下发的Login-Service属性值不正确。
· RADIUS服务器未下发用户角色权限。
本类故障的诊断流程如图1-15所示。
图1-15 RADIUS认证登录失败的故障诊断流程图
Web、NETCONF over SOAP、FTP类登录故障无需关心用户线(类)下的配置,其它排障步骤相同。
(1) 检查用户线下的配置。
执行line vty first-number [ last-number ]命令进入指定的VTY用户线视图,并通过display this命令查看如下配置是否准确:
¡ authentication-mode是否配置为scheme。
¡ 对于Telnet登录:protocol inbound是否配置为telnet或为缺省情况。
¡ 对于SSH登录:protocol inbound是否配置为ssh或为缺省情况。
(2) 检查用户线类下的配置。
(3) 用户线视图下的配置优先于用户线类视图下的配置。若用户线视图下未配置,则需要继续检查用户线类视图下的配置。
(4) 执行line class vty命令进入VTY用户线类视图,并通过display this命令查看如下配置是否准确:
¡ authentication-mode是否配置为scheme。
¡ 对于Telnet登录:protocol inbound是否配置为telnet或为缺省情况。
¡ 对于SSH登录:protocol inbound是否配置为ssh或为缺省情况。
如果用户线和用户线类下的配置均不准确,请按照需要,在指定的用户线或用户线类下设置认证方案为scheme,并设置用户登录支持的协议类型。
(5) 检查ISP域下的认证、授权、计费方案配置是否准确。
执行display domain命令,查看显示信息:
¡ 如果用户的登录用户名中携带了域名(假设为test),则查看该域下的“Login authentication scheme:”字段取值是否为“RADIUS=xx”。如果该域下无“Login authentication scheme:”字段,再查看“Default authentication scheme:”字段取值是否为“RADIUS=xx”。
<Sysname> display domain test
Domain: test
State: Active
Login authentication scheme: RADIUS=rds
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out action: Offline
Service type: HSI
Session time: Exclude idle time
NAS-ID: N/A
DHCPv6-follow-IPv6CP timeout: 60 seconds
Authorization attributes:
Idle cut: Disabled
Session timeout: Disabled
IGMP access limit: 4
MLD access limit: 4
¡ 如果用户的登录用户名中未携带域名,则在系统视图下执行display this命令查看是否存在domain default enable isp-name配置(下例中缺省域名为system)。
#
domain default enable system
#
- 如果存在该配置,则执行display domain命令查看isp-name域下的“Login authentication scheme:”字段取值是否为“RADIUS=xx”。如果该域下无“Login authentication scheme:”字段,再查看“Default authentication scheme:”字段取值是否为“RADIUS=xx”。
- 如果不存在该配置,则执行display domain命令查看system域下的“Login authentication scheme:”字段取值是否为“RADIUS=xx”。如果system域下无“Login authentication scheme:”字段,再查看“Default authentication scheme:”字段取值是否为“RADIUS=xx”。
授权、计费配置确认方式与认证类似,不再赘述。如果以上配置不准确,请在相关ISP域下配置Login用户采用RADIUS认证/授权/计费方案(下例中认证/授权/计费均采用RADIUS方案rd1)。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login radius-scheme rd1
[Sysname-isp-test] authorization login radius-scheme rd1
[Sysname-isp-test] accounting login radius-scheme rd1
(6) 通过RADIUS的调试信息辅助排查如下故障。
¡ 执行debugging radius packet命令打开RADIUS报文调试信息开关,如果系统打印Authentication reject类的报文调试信息,则表示用户的认证请求被服务器拒绝。因此,需要继续查看RADIUS服务器上记录的认证日志,并通过日志中描述的失败原因联系服务器管理员进行相应的处理。
¡ 执行debugging radius error命令打开RADIUS错误调试信息开关,如果系统打印错误调试信息“Invalid packet authenticator.”,则表示设备与服务器的共享密钥不匹配,可以尝试在RADIUS方案下设置与服务器匹配的共享密钥。
¡ 执行debugging radius event命令打开RADIUS事件调试信息开关,如果系统打印事件调试信息“Response timed out. ”,则表示设备与服务器之间不可达,可以尝试排查设备和服务器中间链路不通的问题。
(7) 检查RADIUS服务器下发的Login-Service属性值是否为设备支持的业务类型。
执行debugging radius packet命令打开RADIUS的报文调试信息开关后,查看RADIUS服务器下发的Login-Service属性情况,并采用“1.1.13 用户接入类型与RADIUS服务器下发的Login-Service属性值不匹配”介绍的方法解决故障。
(8) 检查RADIUS服务器是否下发了正确的用户角色权限。
执行debugging radius all命令打开所有RADIUS调试信息开关后,如果用户输入用户名和密码后连接直接断开,且没有异常的RADIUS事件调试信息以及RADIUS错误调试信息输出,则有可能是RADIUS服务器未给用户下发用户角色或下发的用户角色错误导致。此时,可以查看RADIUS报文调试信息中是否包含“shell:roles="xx"”或“Exec-Privilege=xx”字段。
¡ 如果不包含,则表示RADIUS服务器未给用户下发用户角色权限,则可以选用如下方法之一解决:
- 在设备侧,可以通过执行role default-role enable rolename命令使能缺省用户角色授权功能,使得用户在没有被服务器授权任何角色的情况下,具有一个缺省的用户角色。
<Sysname> system-view
[Sysname] role default-role enable
- 联系RADIUS服务器管理员,为用户下发合适的用户角色。
¡ 如果包含,但指定的用户角色在设备上不存在,则需要联系RADIUS服务器管理员修改用户角色设置或者在设备上通过user-role role-name命令创建对应的用户角色。
(9) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息、诊断信息。
¡ 打开RADIUS调试信息开关(通过debugging radius all命令),收集设备的调试信息。
模块名:HH3C-UI-MAN-MIB
· hh3cLogInAuthenFailure (1.3.6.1.4.1.25506.2.2.1.1.3.0.3)
· 模块名:HH3C-SSH-MIB
· hh3cSSHUserAuthFailure (1.3.6.1.4.1.25506.2.22.1.3.0.1)
· LOGIN/5/LOGIN_AUTHENTICATION_FAILED
· LOGIN/5/LOGIN_FAILED
· SSHS/6/SSHS_AUTH_FAIL
管理员采用HWTACACS认证登录设备失败。
本类故障的常见原因主要包括:
· 用户线下的认证方式配置错误。
· VTY用户线下支持的协议类型不正确。
· ISP域下配置的认证、授权、计费方案错误。
· 与HWTACACS服务器交互失败。
· HWTACACS服务器未下发用户角色权限。
本类故障的诊断流程如图1-16所示。
图1-16 HWTACACS认证登录失败的故障诊断流程图
Web、NETCONF over SOAP、FTP类登录故障无需关心用户线(类)下的配置,其它排障步骤相同。
(1) 检查用户线下的配置。
执行line vty first-number [ last-number ]命令进入指定的VTY用户线视图,并通过display this命令查看如下配置是否准确:
¡ authentication-mode是否配置为scheme。
¡ 对于Telnet登录:protocol inbound是否配置为telnet或为缺省情况。
¡ 对于SSH登录:protocol inbound是否配置为ssh或为缺省情况。
(2) 检查用户线类下的配置。
(3) 用户线视图下的配置优先于用户线类视图下的配置。若用户线视图下未配置,则需要继续检查用户线类视图下的配置。
(4) 执行line class vty命令进入VTY用户线类视图,并通过display this命令查看如下配置是否准确:
¡ authentication-mode是否配置为scheme。
¡ 对于Telnet登录:protocol inbound是否配置为telnet或为缺省情况。
¡ 对于SSH登录:protocol inbound是否配置为ssh或为缺省情况。
¡ 如果用户线和用户线类下的配置均不准确,请按照需要,在指定的用户线或用户线类下设置认证方案为scheme,并设置用户登录支持的协议类型。
(5) 检查ISP域下的认证、授权、计费方案配置是否准确。
执行display domain命令,查看显示信息:
¡ 如果用户的登录用户名中携带了域名(假设为test),则查看该域下的“Login authentication scheme:”字段取值是否为“HWTACACS=xx”。如果该域下无“Login authentication scheme:”字段,再查看“Default authentication scheme:”字段取值是否为“HWTACACS=xx”。
<Sysname> display domain test
Domain: test
State: Active
Login authentication scheme: HWTACACS=hwt1
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out action: Offline
Service type: HSI
Session time: Exclude idle time
NAS-ID: N/A
DHCPv6-follow-IPv6CP timeout: 60 seconds
Authorization attributes:
Idle cut: Disabled
Session timeout: Disabled
IGMP access limit: 4
MLD access limit: 4
¡ 如果用户的登录用户名中未携带域名,则在系统视图下执行display this命令查看是否存在domain default enable isp-name配置。(下例中缺省域名为system)。
#
domain default enable system
#
- 如果存在该配置,则执行display domain命令查看isp-name域下的“Login authentication scheme:”字段取值是否为“HWTACACS=xx”。如果该域下无“Login authentication scheme:”字段,再查看“Default authentication scheme:”字段取值是否为“HWTACACS=xx”。
- 如果不存在该配置,则执行display domain命令查看system域下的“Login authentication scheme:”字段取值是否为“HWTACACS=xx”。如果system域下无“Login authentication scheme:”字段,再查看“Default authentication scheme:”字段取值是否为“HWTACACS=xx”。
授权、计费配置确认方式与认证类似,不再赘述。如果以上配置不准确,请在相关ISP域下配置Login用户采用HWTACACS认证/授权/计费方案(下例中认证/授权/计费均采用HWTACACS方案hwt1)。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login hwtacacs-scheme hwt1
[Sysname-isp-test] authorization login hwtacacs-scheme hwt1
[Sysname-isp-test] accounting login hwtacacs-scheme hwt1
(6) 通过HWTACACS的调试信息辅助排查如下故障。
¡ 执行debugging hwtacacs send-packet和debugging hwtacacs receive-packet命令打开HWTACACS报文发送/接收调试信息,如果系统打印应答报文调试信息中包含“status: STATUS_FAIL”,则表示用户的认证请求被服务器拒绝。因此,需要继续查看HWTACACS服务器认证日志中描述的失败原因,并根据具体的失败原因继续定位。
¡ 执行debugging hwtacacs error命令打开HWTACACS错误调试信息开关,如果系统打印错误调试信息“Failed to get available server.”,则通常表示设备与服务器的共享密钥不匹配,可以尝试在HWTACACS方案下设置与服务器匹配的共享密钥。
¡ 执行debugging hwtacacs event命令打开HWTACACS事件调试信息开关,如果系统打印事件调试信息“Connection timed out.”,则表示设备与服务器之间不可达,可以尝试排查设备和服务器中间链路不通的问题。
(7) 检查HWTACACS服务器是否下发了正确的用户角色权限。
执行debugging hwtacacs all命令打开所有HWTACACS调试信息开关后,如果发现客户端登录时直接断开连接,且没有异常的HWTACACS事件调试信息以及HWTACACS错误调试信息输出,则有可能是HWTACACS服务器未给用户下发用户角色权限导致。此时,可以查看HWTACACS的接收报文调试信息是否包含“priv-lvl=xx”或“roles=xx”字段。
¡ 如果不包含,则表示HWTACACS服务器未给用户下发用户角色权限,则可以选用如下方法之一解决:
- 在设备侧,可以通过执行role default-role enable rolename命令使能缺省用户角色授权功能,使得用户在没有被服务器授权任何角色的情况下,具有一个缺省的用户角色。
<Sysname> system-view
[Sysname] role default-role enable
- 联系HWTACACS服务器管理员,为用户下发合适的用户角色。HWTACACS服务器上的授权角色配置必须满足格式:roles="name1 name2 namen",其中name1、name2、namen为要授权下发给用户的用户角色,可为多个,并使用空格分隔。
¡ 如果包含,但指定的用户角色在设备上不存在,则需要联系RADIUS服务器管理员修改用户角色设置或者在设备上通过user-role role-name命令创建对应的用户角色。
(8) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息、诊断信息。
¡ 打开HWTACACS调试信息开关(通过debugging hwtacacs all命令),收集设备的调试信息。
模块名:HH3C-UI-MAN-MIB
· hh3cLogInAuthenFailure (1.3.6.1.4.1.25506.2.2.1.1.3.0.3)
· 模块名:HH3C-SSH-MIB
· hh3cSSHUserAuthFailure (1.3.6.1.4.1.25506.2.22.1.3.0.1)
· LOGIN/5/LOGIN_AUTHENTICATION_FAILED
· LOGIN/5/LOGIN_FAILED
· SSHS/6/SSHS_AUTH_FAIL
管理员采用LDAP认证登录设备失败。
本类故障的常见原因主要包括:
· 用户线下的认证方式配置错误。
· VTY用户线下支持的协议类型不正确。
· ISP域下配置的认证、授权、计费方案错误。
· 与LDAP服务器交互失败。
本类故障的诊断流程如图1-17所示。
图1-17 LDAP认证登录失败的故障诊断流程图
Web、NETCONF over SOAP、FTP类登录故障无需关心用户线(类)下的配置,其它排障步骤相同。
(1) 检查用户线下的配置。
执行line vty first-number [ last-number ]命令进入指定的VTY用户线视图,并通过display this命令查看如下配置是否准确:
¡ authentication-mode是否配置为scheme。
¡ 对于Telnet登录:protocol inbound是否配置为telnet或为缺省情况。
¡ 对于SSH登录:protocol inbound是否配置为ssh或为缺省情况。
(2) 检查用户线类下的配置。
(3) 用户线视图下的配置优先于用户线类视图下的配置。若用户线视图下未配置,则需要继续检查用户线类视图下的配置。
(4) 执行line class vty命令进入VTY用户线类视图,并通过display this命令查看如下配置是否准确:
¡ authentication-mode是否配置为scheme。
¡ 对于Telnet登录:protocol inbound是否配置为telnet或为缺省情况。
¡ 对于SSH登录:protocol inbound是否配置为ssh或为缺省情况。
如果用户线和用户线类下的配置均不准确,请按照需要,在指定的用户线或用户线类下设置认证方案为scheme,并设置用户登录支持的协议类型。
(5) 检查ISP域下的认证、授权、计费方案配置是否准确。
执行display domain命令,查看显示信息:
¡ 如果用户的登录用户名中携带了域名(假设为test),则查看该域下的“Login authentication scheme:”字段取值是否为“LDAP=xx”。如果该域下无“Login authentication scheme:”字段,再查看“Default authentication scheme:”字段取值是否为“LDAP=xx”。
<Sysname> display domain test
Domain: test
State: Active
Login authentication scheme: LDAP=ldp
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out action: Offline
Service type: HSI
Session time: Exclude idle time
NAS-ID: N/A
DHCPv6-follow-IPv6CP timeout: 60 seconds
Authorization attributes:
Idle cut: Disabled
Session timeout: Disabled
IGMP access limit: 4
MLD access limit: 4
¡ 如果用户的登录用户名中未携带域名,则在系统视图下执行display this命令查看是否存在domain default enable isp-name配置(下例中缺省域名为system)。
#
domain default enable system
#
- 如果存在该配置,则执行display domain命令查看isp-name域下的“Login authentication scheme:”字段取值是否为“LDAP=xx。如果该域下无“Login authentication scheme:”字段,再查看“Default authentication scheme:”字段取值是否为“LDAP=xx”。
- 如果不存在该配置,则执行display domain命令查看system域下的“Login authentication scheme:”字段取值是否为“LDAP=xx”。如果system域下无“Login authentication scheme:”字段,再查看“Default authentication scheme:”字段取值是否为“LDAP=xx”。
如果以上配置不准确,请在相关ISP域下配置Login用户采用LDAP认证方案。LDAP服务器一般只作为认证服务器,授权和计费通常配置为其它方式,比如local、RADIUS或HWTACACS(下例中,认证采用LDAP方案ccc、授权和计费为local)。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login ldap-scheme ccc
[Sysname-isp-test] authorization login local
[Sysname-isp-test] accounting login local
(6) 通过LDAP的调试信息辅助排查如下故障。
执行debugging ldap error命令打开LDAP错误调试信息开关,可根据系统打印的如下调试信息定位问题:
¡ “Failed to perform binding operation as administrator.“表示LDAP服务器视图下配置的管理员用户DN不存在或管理员密码不正确。针对此问题,可以进入LDAP服务器视图,执行login-dn和login-password命令修改管理员用户DN和密码配置(下例中管理员权限的用户DN为cn=administrator,cn=users,dc=ld、管理员密码为admin!123456)。
<Sysname> system-view
[Sysname] ldap server ldap1
[Sysname-ldap-server-ldap1] login-dn cn=administrator,cn=users,dc=ld
[Sysname-ldap-server-ldap1] login-password simple admin!123456
¡ “Failed to get bind result.errno = 115”表示对端未开启LDAP服务或LDAP服务器异常。针对此问题,可以联系LDAP服务器管理员解决。
¡ “Bind operation failed.”表示设备与LDAP服务器之间不可达,可以尝试排查设备和服务器中间链路不通的问题。
¡ “Failed to perform binding operation as user.”表示LDAP用户密码错误。
¡ “Failed to bind user username for the result of searching DN is NULL.”表示LDAP用户不存在。针对此问题,可以联系LDAP服务器管理员解决。
(7) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息、诊断信息。
¡ 打开LDAP调试信息开关(通过debugging ldap all命令),收集设备的调试信息。
模块名:HH3C-UI-MAN-MIB
· hh3cLogInAuthenFailure (1.3.6.1.4.1.25506.2.2.1.1.3.0.3)
· 模块名:HH3C-SSH-MIB
· hh3cSSHUserAuthFailure (1.3.6.1.4.1.25506.2.22.1.3.0.1)
· LOGIN/5/LOGIN_AUTHENTICATION_FAILED
· LOGIN/5/LOGIN_FAILED
· SSHS/6/SSHS_AUTH_FAIL
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
