• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

SR6608 结合思科ACS5.3对SSH用户进行Hwtacacs登陆认证失败的经验案例

2017-06-30 发表
  • 0关注
  • 0收藏 1771浏览
高子军
高子军 五段
粉丝:0人 关注:0人

某金融客户,使用SR6608结合CISCOACS 5.3SSH登陆用户进行认证;服务器侧显示认证成功了,但是客户端显示认证成功后又马上下线了

%Jun 30 10:41:57:408 2017 XJ1_EP_AR_02 SSHS/6/SSHS_CONNECT: SSH user admin (IP: 192.168.115.65) connected to the server successfully.

%Jun 30 10:41:57:496 2017 XJ1_EP_AR_02 LOGIN/5/LOGIN_FAILED: admin failed to log in from 192.168.115.65.

%Jun 30 10:42:00:504 2017 XJ1_EP_AR_02 SSHS/6/SSHS_LOG: User admin logged out from 192.168.115.65 port 2244.

%Jun 30 10:42:00:504 2017 XJ1_EP_AR_02 SSHS/6/SSHS_DISCONNECT: SSH user admin (IP: 192.168.115.65) disconnected from the server.

1.查看设备的配置:

hwtacacs scheme hwtacacs

 primary authentication 192.168.10.73

 primary authorization 192.168.10.73

 key authentication cipher $c$3$FD7Vnm5q9+TM1eJfSc/aukuXmt11RjMHNkH7

 key authorization cipher $c$3$8yO4/RbsUWT+76PD2HNOpyyduF2WLQv/K0tH

 user-name-format without-domain

 nas-ip 192.168.0.2

#

domain ssh

 authentication login hwtacacs-scheme hwtacacs local

 authorization login hwtacacs-scheme hwtacacs local

#

 domain default enable ssh

查看配置认证和授权配置均正确;

2.在SR6608上收集Debugging hwtacacs all的调试信息,服务器已经授权成功,并且下发的授权为level-15的等级,但是客户端随后就认证失败

*Jun 30 18:12:59:387 2017 XJ1_EP_AR_02 TACACS/7/recv_packet:

version: 0xc0  type: AUTHOR_REPLY  seq_no: 2  flag: ENCRYPTED_FLAG

session-id: 0x82e49ab

length of payload: 18

Status: STATUS_PASS_ADD  arg_cnt: 1  server_msg len: 0  data len: 0

arg0_len: 11

server_msg:

data:

arg0: priv-lvl=15

3.客户端已经认证和授权成功,查看授权成功后的调试信息:

%Jun 30 18:12:59:417 2017 XJ1_EP_AR_02 SSHS/6/SSHS_CONNECT: SSH user admin (IP: 192.168.115.65) connected to the server successfully.

*Jun 30 18:12:59:417 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Compression: raw_len 725, compressed_len 177

*Jun 30 18:12:59:418 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Compression: raw_len 1909, compressed_len 314

*Jun 30 18:12:59:419 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Compression: raw_len 91, compressed_len 23

*Jun 30 18:12:59:419 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Input: Length before de-compress 10, length after de-compress 9

*Jun 30 18:12:59:419 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Received packet type 93.

*Jun 30 18:12:59:420 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Compression: raw_len 134, compressed_len 17

*Jun 30 18:12:59:421 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Compression: raw_len 317, compressed_len 36

*Jun 30 18:12:59:424 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Channel 0: read_fd 36 is a TTY.

*Jun 30 18:12:59:424 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Prepare packet[93].

*Jun 30 18:12:59:424 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Compression: raw_len 14, compressed_len 14

*Jun 30 18:12:59:424 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Prepare packet[99].

*Jun 30 18:12:59:424 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Compression: raw_len 10, compressed_len 9

*Jun 30 18:12:59:424 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Compression: raw_len 1062, compressed_len 120

*Jun 30 18:13:02:462 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Input: Length before de-compress 8, length after de-compress 9

*Jun 30 18:13:02:462 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Received packet type 93.

*Jun 30 18:13:02:516 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Channel 0: read failed

*Jun 30 18:13:02:516 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Channel 0: input state changed (open -> drain)

*Jun 30 18:13:02:516 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Channel 0: send EOF

*Jun 30 18:13:02:516 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Prepare packet[96].

*Jun 30 18:13:02:516 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Compression: raw_len 10, compressed_len 10

*Jun 30 18:13:02:516 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Channel 0: input state changed (drain -> closed)

*Jun 30 18:13:02:516 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Received SIGCHLD.

*Jun 30 18:13:02:516 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Channel 0: request exit-status confirm 0

*Jun 30 18:13:02:517 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Prepare packet[98].

*Jun 30 18:13:02:517 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Compression: raw_len 30, compressed_len 25

*Jun 30 18:13:02:517 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Release channel 0

*Jun 30 18:13:02:517 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Channel 0: write failed

*Jun 30 18:13:02:517 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Channel 0: send EOW

*Jun 30 18:13:02:517 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Channel 0: output state changed (open -> closed)

*Jun 30 18:13:02:517 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Close pty: pseudo-terminal-master(-1), pseudo-terminal-sub(34)

*Jun 30 18:13:02:518 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Channel 0: send SSH2_MSG_CHANNEL_CLOSE

*Jun 30 18:13:02:518 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Prepare packet[97].

*Jun 30 18:13:02:518 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Compression: raw_len 10, compressed_len 10

*Jun 30 18:13:02:518 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Input: Length before de-compress 9, length after de-compress 5

*Jun 30 18:13:02:518 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Received packet type 96.

*Jun 30 18:13:02:518 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Channel 0: received EOF

*Jun 30 18:13:02:518 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Input: Length before de-compress 9, length after de-compress 5

*Jun 30 18:13:02:518 2017 XJ1_EP_AR_02 SSHS/7/MESSAGE: Received packet type 97.

*Jun 30 18:13:02:518 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Channel 0: received SSH2_MSG_CHANNEL_CLOSE

*Jun 30 18:13:02:518 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Close session: session 0, pid 0

*Jun 30 18:13:02:518 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Close pty: pseudo-terminal-master(-1), pseudo-terminal-sub(-1)

*Jun 30 18:13:02:519 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Session id 0 unused.

*Jun 30 18:13:02:519 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Channel 0: garbage collecting

*Jun 30 18:13:02:519 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Connection closed by 192.168.115.65

*Jun 30 18:13:02:519 2017 XJ1_EP_AR_02 SSHS/7/EVENT: PAM: cleanup

*Jun 30 18:13:02:522 2017 XJ1_EP_AR_02 SSHS/7/EVENT: Transferred: sent 1936 bytes, received 1192 bytes

%Jun 30 18:13:02:522 2017 XJ1_EP_AR_02 SSHS/6/SSHS_LOG: User admin logged out from 192.168.115.65 port 3097.

%Jun 30 18:13:02:522 2017 XJ1_EP_AR_02 SSHS/6/SSHS_DISCONNECT: SSH user admin (IP: 192.168.115.65) disconnected from the server.

4.与产品线确认,Domain下没有配置计费,导致认证流程无法完成,所以在授权成功后紧接着客户端就断开连接。客户现场是不需要配置计费的,可以在Domain配置计费为none来解决

domain ssh

accounting login none

Domain下配置计费为none解决。

V7平台路由器在认证时,即使不需要计费也要在Domain下配置计费为none,否则会导致认证流程不完整进而下线。

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-08对此案例进行了修订
1 个评论
zhiliao_6dRL5
zhiliao_6dRL5 知了小白
粉丝:0人 关注:0人

您好,有问题想咨询您 方便留个联系方式吗

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
知了APP下载
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作