• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点双因素802.1x认证终端间隔一段时间下线后无法上线案例

2022-01-03 发表
  • 0关注
  • 1收藏 1392浏览
粉丝:16人 关注:4人

组网及说明

AC旁挂核心,本地转发,IMC认证服务器。

配置802.1x双因素认证:即终端接入SSID时,需要正确输入:用户名+密码和IMC推送的随机验证码


问题描述

该局点要求接入SSID的终端保持24 h在线。

但安卓终端在接入SSID后8小时24分0秒掉线,且自动上线失败,需要手动重新输入用户名+密码+随机验证码;

苹果终端在接入SSID后12小时0分0秒掉线,其它现象通安卓终端。


过程分析

(1) 首先分析终端的掉线原因:

安卓终端记录的下线原因为 1030(收到终端认证失败信息,和随机验证码发生改变导致的终端802.1x认证失败有关);

苹果终端的下线原因为1025(终端主动下线),而再次上线失败记录的错误代码2134对应的原因是终端802.1x认证失败。

由此可知,安卓终端下线原因是由于再次802.1x认证失败,而苹果终端是主动下线,再次上线时由于802.1x认证失败导致上线失败而下线。


(2) 随后分析了终端下线后再次上线失败的原因:

由于两种终端每次的在线时长是固定的,因此在接近终端下线的时间点进行了802.1x debug分析,以确定终端再次上线失败的原因。

根据2021-12-25下午17点左右收集的安卓终端(a069-7465-50dd)掉线时的debug记录分析,该终端下线后在17:29:42左右的重认证过程在发送Access Request之后,收到来自IMC服务器侧的Access Reject报文(3号报文),记录原因是:"E63023: Incorrect password.",随后终端和IMC服务器交互Accounting Stop后下线。

*Dec 25 17:29:42:540 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:

Sent request packet and create request context successfully.

*Dec 25 17:29:42:540 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:

Added request context to global table successfully.

*Dec 25 17:29:42:541 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:

Processing AAA request data.

*Dec 25 17:29:42:541 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:

Reply SocketFd received EPOLLIN event.

*Dec 25 17:29:42:541 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:

Received reply packet successfully.

*Dec 25 17:29:42:542 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:

Found request context, dstIP: 10.229.75.120, dstPort: 1812, VPN instance: --(public), socketFd: 509, pktID: 168.

*Dec 25 17:29:42:542 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:

The reply packet is valid.

*Dec 25 17:29:42:542 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/EVENT:

Decoded reply packet successfully.

*Dec 25 17:29:42:542 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/PACKET:

    EAP-Message=0x04140004

    Reply-Message="E63023: Incorrect password."

    Message-Authenticator=0xb101bf827d650834a0cb0c45d8807eb8

*Dec 25 17:29:42:542 2021 BJDXHB30B1_DT_AC_01_02 RADIUS/7/PACKET:

 03 a8 00 49 61 8a 05 0d e1 da e4 97 d3 86 c3 55

 0e e2 03 4d 4f 06 04 14 00 04 12 1d 45 36 33 30

 32 33 3a 20 49 6e 63 6f 72 72 65 63 74 20 70 61

 73 73 77 6f 72 64 2e 50 12 b1 01 bf 82 7d 65 08

 34 a0 cb 0c 45 d8 80 7e b8

原因为:现场配置了双因素认证(账户+密码+随机验证码)的方式,终端再次接入双因素认证的 SSID 时进行802.1x认证时虽然账户和密码正确,但由于随机验证码已经发生改变,因此与IMC服务器交互失败,被服务器拒绝接入导致无法上线。 同样的,debug记录的终端接入过程中类似因为验证码错误导致认证失败的现象还发生在其它多个终端上。 

而作为对比的仅配置802.1x(没有随机验证码)的安卓终端,同样发生了在 17:44:52 左右再次进行802.1x的交互记录,由于没有随机验证码的参与,再接入对比SSID时该终端顺利通过802.1x认证。 由此可知,终端下线后再次上线失败的原因在于采用双因素认证时,随机验证码发生改变导致终端802.1x认证失败。 

解决方法

建议的方案为以下二选其一: 

① 在IMC服务器侧设置随机验证码的有效期为24 h以上,保证终端在下线后再上线过程能顺利通过双因素认证上线,从用户侧来看这一重新上线的过程是无感知的。 

② 为需要24 h不间断在线的终端配置不使用发送随机验证码的802.1x认证方法,避免终端下线后的再上线接入认证过程因为随机验证码改变导致的802.1x认证失败下线。 

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2022-02-08对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作