• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点登录S3110-52TP V5设备时服务器下发权限失败

  • 0关注
  • 1收藏 771浏览
刘倩 七段
粉丝:6人 关注:4人

组网及说明

组网不涉及

告警信息

告警信息不涉及

问题描述

V5设备对ssh登录用户通过radius下发授权,radius服务器上匹配vendor-id为25506,属性 Vendor-Specific[26],扩展属性Exec_Privilege[29],Exec_Privilege值为3,对登录V5设备的用户下发level=3的权限,但是实际登录到设备后,用户权限只有level-0,即3A服务器给用户下发的权限并未生效。

过程分析

1.设备上debugging radius packet看服务器给设备下发的授权信息,结合抓包看,服务器确实给用户下发了level-3的权限,但是在交换机上debug看,交换机似乎并未识别出来,所以class类似一串乱码

*Mar  9 14:20:06:220 2023 OA-CNSZ39-1B36F-S3110-0.205 RDS/7/DEBUG: Receive Raw Packet is:

*Mar  9 14:20:06:221 2023 OA-CNSZ39-1B36F-S3110-0.205 RDS/7/DEBUG:

 02 f3 00 c4 31 19 c2 f7 7c 2a b3 92 0c 4c 09 b9

 52 ca a1 42 0f 06 00 00 00 32 06 06 00 00 00 01

 1a 0c 00 00 63 a2 1d 06 00 00 00 0f 1a 0c 00 00

 6f 8d 01 06 00 00 00 00 1a 0a 00 00 0a 4c 01 04

 53 55 1a 0c 00 00 07 db 1d 06 00 00 00 0f 1a 0c

 00 00 6f 8d 02 06 00 00 00 10 1a 0c 00 00 6f 8d

 03 06 ff ff ff ff 1a 0c 00 00 6f 8d 04 06 00 00

 00 1f 0f 06 00 00 00 32 06 06 00 00 00 01 19 2e

 a7 33 09 60 00 00 01 37 00 01 02 00 0a 74 db 2b

 00 00 00 00 d9 61 71 dc 5e 19 07 36 01 d9 36 b2

 06 b3 26 c6 00 00 00 00 00 0b 5a 99 1a 0c 00 00

 01 37 0e 06 00 00 00 32 1a 0c 00 00 01 37 0f 06

 00 00 00 78

 

*Mar  9 14:20:06:222 2023 OA-CNSZ39-1B36F-S3110-0.205 RDS/7/DEBUG: Receive:IP=[10.116.219.43],Code=[2],Length=[196]

*Mar  9 14:20:06:222 2023 OA-CNSZ39-1B36F-S3110-0.205 RDS/7/DEBUG:

[15 Login-Service               ] [6 ] [50]

[6  Service-Type                ] [6 ] [1]

[15 Login-Service             ] [6 ] [50]

[6  Service-Type           ] [6 ] [1]

[25 Class                   ] [46] [A733096000000137000102000A74DB2B00000000D96171DC5E19073601D936B206B326C600000000000B5A99]


解决方法

可以在radius方案视图下配置server-type extend解决,这样设备才能识别服务器下发的扩展属性

1.3.25  server-type

【命令】

server-type extended vendor vendor-id ] standard }

undo server-type

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

extended:指定extended类型的RADIUS服务器(一般为CAMS/iMC),即要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互。

vendor vendor-id:控制设备向RADIUS服务器发送的Vendor-Specific属性只能为指定厂商的Vendor-Specific属性。vendor-id为厂商标识号码,取值范围为1~65535。目前设备支持的vendor-id包括:9、43、311、2011、25506。若未指定该参数,则设备可以向RADIUS服务器发送设备支持的所有厂商的Vendor-Specific属性。

standard:指定standard类型的RADIUS服务器,即要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互。

【描述】

server-type命令用来配置设备支持的RADIUS服务器类型。undo server-type命令用来恢复缺省情况。

缺省情况下,设备支持的RADIUS服务器类型为standard

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作