全部
经验案例
典型配置
技术公告
FAQ
漏洞说明

全部
是
否

全部
是
否

大数据引擎
知了引擎

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

高级搜索

知

某局点WX2560X 本地802.1X（EAP-GTC）+LDAP认证失败

802.1X
V7 AC

2023-05-05 发表

0关注
1收藏 953浏览

王子腾五段

粉丝：4人关注：10人

组网及说明

WX2560X+WA6530，集中转发+二层注册，AC与LDAP服务器都旁挂核心交换机。

问题描述

手机端无线用户连接到WLAN网络，并使用对应用户名进行802.1X认证，阶段2认证选择GTC，认证失败。

过程分析

1、首先检查AC的配置。

#已配置PKI域，且证书已导入设备

pki domain eap-gtc

public-key rsa general name eap-gtc

undo crl check enable

pki import domain eap-gtc p12 local filename local.pfx

pki import domain eap-gtc pem ca filename server.cer

#已配置SSL服务器端策略且引用PKI域。

ssl server-policy ssl-eap

pki-domain eap-gtc

#已指定认证方式为peap-gtc，且引用ssl服务器策略

eap-profile eap-ldap

method peap-gtc

ssl-server-policy ssl-eap

#802.1X已指定EAP认证

dot1x authentication-method eap

#已配置ISP域

domain eap-gtc

authentication lan-access ldap-scheme 802.1x

authorization lan-access none

accounting lan-access none

#已配置LDAP方案，并指定LDAP认证服务器

ldap scheme 802.1x

authentication-server 802.1x

#已配置LDAP服务器，IP和用户名密码都正确

ldap server 802.1x

login-dn cn=administrator,cn=users,dc=itgfinacne,dc=com,dc=cn

search-base-dn ou=itg 财务公司 ,dc=itgfinacne,dc=com,dc=cn

ip 10.10.10.10

login-password cipher $c$3$Ci9VdK/Xq3+Bll4EKskzBx3i7wtPfV5aUlLdkA==

#服务模板已应用802.1X认证

wlan service-template h3c

ssid H3C

vlan 100

akm mode dot1x

cipher-suite ccmp

security-ie rsn

client-security authentication-mode dot1x

dot1x domain eap-gtc

dot1x eap-termination eap-profile eap-ldap

dot1x eap-termination authentication-method pap

service-template enable

#对应AP的Radio已绑定对应服务模板

wlan ap ap1 model WA6530

serial-id xxxxxxx

ap-model WA6530

radio 1

radio enable

service-template h3c

radio 2

radio enable

service-template h3c

radio 3

radio enable

service-template h3c

gigabitethernet 1

smartrate-ethernet 1

2、检查AC与LDAP服务器连通性，也正常。

3、收集debugging dot1x all、debugging ldap all信息

PAM_LDAP:Processing LDAP authentication.

*Apr 21 16:28:09:460 2023 ac LDAP/7/EVENT:

PAM_LDAP:Processing AAA request data.

*Apr 21 16:28:09:460 2023 ac LDAP/7/EVENT:

PAM_LDAP:LDAP server is: 10.8.24.10.

*Apr 21 16:28:09:460 2023 ac LDAP/7/EVENT:

PAM_LDAP:Current bind state is 4.

*Apr 21 16:28:09:460 2023 ac LDAP/7/EVENT:

PAM_LDAP:Search user when authentication.

*Apr 21 16:28:09:460 2023 ac LDAP/7/EVENT:

PAM_LDAP:Username is wangshanshan.

*Apr 21 16:28:09:460 2023 ac LDAP/7/EVENT:

PAM_LDAP[Authen]:Search filter is (&(objectClass=person)(cn=wangshanshan)).

*Apr 21 16:28:09:460 2023 ac LDAP/7/EVENT:

PAM_LDAP[Authen]:Search base DN is ou=itg财务公司,dc=itgfinacne,dc=com,dc=cn.

*Apr 21 16:28:09:460 2023 ac LDAP/7/EVENT:

PAM_LDAP:Response timeout timer successfully created.

*Apr 21 16:28:09:460 2023 ac LDAP/7/EVENT:

PAM_LDAP:Data of authentication request successfully sent.

*Apr 21 16:28:09:461 2023 ac LDAP/7/EVENT:

PAM_LDAP:Get result message errno = 32

*Apr 21 16:28:09:461 2023 ac LDAP/7/EVENT:

PAM_LDAP:User wangjingjing search done.

*Apr 21 16:28:09:461 2023 ac LDAP/7/ERROR:

PAM_LDAP:Failed to search users.

*Apr 21 16:28:09:461 2023 ac LDAP/7/EVENT:

PAM_LDAP:Processing LDAP authentication.

*Apr 21 16:28:09:462 2023 ac LDAP/7/EVENT:

PAM_LDAP:Data of authentication reply successfully obtained, resultCode: 1.

%Apr 21 16:28:09:462 2023 ac DOT1X/5/DOT1X_WLAN_LOGIN_FAILURE: -Username=wangshanshan-UserMAC=7e2e-5d6e-ede3-BSSID=7c7a-3c28-acb0-SSID=CWGS-APName=ap13-RadioID=1-VLANID=126; A user failed 802.1X authentication.Reason:AAA processed authentication request and return 26.

AAA处理认证请求反馈的错误code26，一般为用户名或密码错误、认证类型错误、服务器上没有添加设备IP地址、服务模板下认证域配置错误。 /////这些已确认都无误

LDAP error提示查找用户失败，查看登录的administrator用户在user文件夹下，真正用户在ITG财务公司文件夹下，后排查发现绑定的administrator管理员没有查询ITG财务公司目录的权限，添加查询权限后可以认证成功。

解决方法

修改LDAP服务器配置，给登录LDAP服务器的administrator用户添加访问ITG财务公司目录的权限

该案例对您是否有帮助：

您的评价：1

若您有关于案例的建议，请反馈：

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

×

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

×

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

×

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

×

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利当前呈现版本 NO.1

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖