wx5540E+radius认证问题

这是登录什么？

你这个问题是典型的CLI 和 Web 的 AAA 域不匹配导致的：命令行走的是正确的 Radius 域，而 Web 登录时没有正确绑定域，导致系统找不到用户。
一、问题根因
CLI 登录正常：说明你的 radius scheme 和 domain 配置是对的，Radius 服务器也正常响应。
Web 登录报 “用户不存在”：Web 界面登录默认走的是system域，而你的 Radius 用户可能只在自定义域里配置了，system域没绑定 Radius 方案，或者 Web 登录没指定正确的域。
二、解决步骤（按顺序操作）
步骤 1：确认当前域配置
先确认你的域配置和默认域设置：
bash
运行
display domain
display domain default enable
你看到的结果大概率是：
domain default enable system（默认域是 system）
你自定义的域（比如你的domain ***.***）只在vty/console 下生效，Web 没用到。
步骤 2：让 Web 登录也走 Radius 域
方案 A：把 Web 登录绑定到你的 Radius 域（推荐）
修改 Web 登录的认证域，让它直接用你配置好的 Radius 域：
bash
运行
# 1. 进入系统视图
system-view

# 2. 配置Web登录使用的域（替换为你的域名）
web authentication domain ***.***
保存配置后，重新登录 Web，使用 Radius 账号即可正常登录。
方案 B：直接修改系统默认域为你的 Radius 域（需谨慎）
如果想让所有登录方式（CLI/Web）都默认走你的 Radius 域：
bash
运行
system-view
domain default enable ***.***
⚠️ 注意：修改后 CLI 登录也会默认走 Radius，Radius 故障时会无法登录，建议同时保留本地用户作为兜底。
步骤 3：验证 Web 登录的 AAA 配置
修改后，用下面的命令确认配置生效：
bash
运行
display web domain
输出应显示你的自定义域名。
步骤 4：兜底检查（如果上面还不行）
检查 Radius 服务器是否允许 Web 登录：部分 Radius 服务器会区分 “设备管理登录” 和 “用户上网认证”，需要在服务器侧给该账号开启设备管理权限。
检查 NAS-IP 是否正确：你配置的nas-ip 10.254.0.252必须是 Radius 服务器上配置的 AC 管理 IP，且和 Web 登录时设备的源 IP 一致。
检查 Web 服务是否开启：确认设备上的 http/https 服务正常：
bash
运行
display ip http server
display ip https server
三、一句话总结
你现在的问题是Web 登录默认用的是system域，没绑定 Radius，而 CLI 用的是正确的自定义域。用web authentication domain把 Web 登录指定到你的 Radius 域，就能解决 “用户不存在” 的报错。

在radius 服务器抓包看， 命令行和web端都走了radius认证

1. 排查域名传递问题（最常见原因）

• 现象分析：如果你的 RADIUS 服务器上创建的用户是带后缀的（如 admin@***.***），而 Web 登录时只发了 admin，服务器就会报“用户不存在”。
• 解决方法：
  • 测试：在 Web 登录框中，尝试输入完整的 用户名@***.*** 进行登录。
  • 配置优化：如果希望 Web 登录时只输用户名也能认证成功，可以在 RADIUS 方案中强制设备在发送请求时自动带上域名：
    1radius scheme radius 2 user-name-format with-domain # 强制发送带域名的用户名给服务器
    （注：你当前的配置默认为 without-domain，即如果用户登录时没输域名，设备就不发给服务器。）

2. 排查 Web 业务类型（Service-Type）不匹配

• 解决方法：
  • 检查服务器策略：登录你的 RADIUS 服务器，查看认证失败的日志，确认服务器收到的 Service-Type 是什么，并确保服务器的网络策略允许该类型的接入。
  • 放宽设备检查（推荐尝试）：在设备的 RADIUS 方案中，将属性检查模式改为“宽松模式”，这样设备对服务器返回的业务类型属性容忍度更高：
    1radius scheme radius 2 attribute 15 check-mode loose # 15号属性即Service-Type，改为宽松检查

3. 排查权限授权属性（VSA）缺失

• 解决方法：
  需要在 RADIUS 服务器上，为该用户或用户组添加 H3C 的私有属性（Vendor-Specific Attribute），明确授权其拥有 Web 登录权限。
  • H3C 厂商代码：25506
  • 需要下发的属性：
    • H3C-Service-Type (或 Service-Type) = HTTP (或对应的数值，如 53)
    • H3C-AV-Pair (属性号 210) = shell:roles="network-admin" (如果是 V5 版本，可能是 shell:privilege=15 或类似的提权属性)

4. 开启调试精准定位（终极手段）

• 操作步骤：
  1<AC> terminal monitor 2<AC> terminal debugging 3<AC> debugging radius packet
• 观察重点：
  • 设备发出的 Access-Request 报文中，User-Name 是否带了 @***.***？Service-Type 是什么？
  • 服务器返回的是 Access-Reject（拒绝）还是 Access-Accept（接受）？
  • 如果是 Access-Reject，通常就是用户名不对或服务器策略拦截；如果是 Access-Accept 但依然登录失败，那就是缺少第 3 步提到的权限授权属性。