AC旁挂核心,本地转发,IMC认证服务器。
配置802.1x双因素认证:即终端接入SSID时,需要正确输入:用户名+密码和IMC推送的随机验证码
该局点要求接入SSID的终端保持24 h在线。
但安卓终端在接入SSID后8小时24分0秒掉线,且自动上线失败,需要手动重新输入用户名+密码+随机验证码;
苹果终端在接入SSID后12小时0分0秒掉线,其它现象通安卓终端。
(1) 首先分析终端的掉线原因:
安卓终端记录的下线原因为 1030(收到终端认证失败信息,和随机验证码发生改变导致的终端802.1x认证失败有关);
苹果终端的下线原因为1025(终端主动下线),而再次上线失败记录的错误代码2134对应的原因是终端802.1x认证失败。
由此可知,安卓终端下线原因是由于再次802.1x认证失败,而苹果终端是主动下线,再次上线时由于802.1x认证失败导致上线失败而下线。
(2) 随后分析了终端下线后再次上线失败的原因:
由于两种终端每次的在线时长是固定的,因此在接近终端下线的时间点进行了802.1x debug分析,以确定终端再次上线失败的原因。
根据2021-12-25下午17点左右收集的安卓终端(a069-7465-50dd)掉线时的debug记录分析,该终端下线后在17:29:42左右的重认证过程在发送Access Request之后,收到来自IMC服务器侧的Access Reject报文(3号报文),记录原因是:"E63023: Incorrect password.",随后终端和IMC服务器交互Accounting Stop后下线。
*Dec 25 17:29:42:540 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:
Sent request packet and create request context successfully.
*Dec 25 17:29:42:540 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:
Added request context to global table successfully.
*Dec 25 17:29:42:541 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:
Processing AAA request data.
*Dec 25 17:29:42:541 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:
Reply SocketFd received EPOLLIN event.
*Dec 25 17:29:42:541 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:
Received reply packet successfully.
*Dec 25 17:29:42:542 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:
Found request context, dstIP: 10.229.75.120, dstPort: 1812, VPN instance: --(public), socketFd: 509, pktID: 168.
*Dec 25 17:29:42:542 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:
The reply packet is valid.
*Dec 25 17:29:42:542 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:
Decoded reply packet successfully.
*Dec 25 17:29:42:542 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/PACKET:
EAP-Message=0x04140004
Reply-Message="E63023: Incorrect password."
Message-Authenticator=0xb101bf827d650834a0cb0c45d8807eb8
*Dec 25 17:29:42:542 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/PACKET:
03 a8 00 49 61 8a 05 0d e1 da e4 97 d3 86 c3 55
0e e2 03 4d 4f 06 04 14 00 04 12 1d 45 36 33 30
32 33 3a 20 49 6e 63 6f 72 72 65 63 74 20 70 61
73 73 77 6f 72 64 2e 50 12 b1 01 bf 82 7d 65 08
34 a0 cb 0c 45 d8 80 7e b8
原因为:现场配置了双因素认证(账户+密码+随机验证码)的方式,终端再次接入双因素认证的 SSID 时进行802.1x认证时虽然账户和密码正确,但由于随机验证码已经发生改变,因此与IMC服务器交互失败,被服务器拒绝接入导致无法上线。 同样的,debug记录的终端接入过程中类似因为验证码错误导致认证失败的现象还发生在其它多个终端上。
而作为对比的仅配置802.1x(没有随机验证码)的安卓终端,同样发生了在 17:44:52 左右再次进行802.1x的交互记录,由于没有随机验证码的参与,再接入对比SSID时该终端顺利通过802.1x认证。 由此可知,终端下线后再次上线失败的原因在于采用双因素认证时,随机验证码发生改变导致终端802.1x认证失败。
建议的方案为以下二选其一:
① 在IMC服务器侧设置随机验证码的有效期为24 h以上,保证终端在下线后再上线过程能顺利通过双因素认证上线,从用户侧来看这一重新上线的过程是无感知的。
② 为需要24 h不间断在线的终端配置不使用发送随机验证码的802.1x认证方法,避免终端下线后的再上线接入认证过程因为随机验证码改变导致的802.1x认证失败下线。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作