某局点在交换机S7506E(version 7.1.070, Release7536P05)上启用Portal认证,使用iMC EIA (7.2E0411H10)作为认证服务器。客户想实现对不同的接入用户分配不同的接入服务,于是创建了两个接入服务imc和office,对应的服务后缀分别为imc和office,如下图所示:
并且配置了服务类型一一对应,如下图所示:
现场拨号测试的时候发现异常,接入用户807只分配了接入服务office:
但是选择服务imc也能认证成功,并且在iMC在线用户列表中看到的登录名为807@office:
正常情况下如果接入用户807没有分配接入服务imc,客户端使用807@imc拨号应该认证失败并且提示“用户不存在没有申请该服务”,而从现场反馈的实际现象来看,iNode使用807@imc却能拨号成功,并且在线用户列表中显示的登录名是807@office,对于这种异常的情况,需要具体从Portal、UAM日志中分析接入用户名在报文中的实际携带情况。
Portalserver调试日志中可以看到客户端发送给Portal服务器的CODE_PP_LOGIN_REQUEST报文中携带的用户名为807@imc,说明用户选择的服务类型确实为imc:
2017-08-08 16:52:39.835[Portal服务器][调试(0)][21][ProxyRequestHandler::run]10.100.177.18 ; CODE_PP_LOGIN_REQUEST(100) ; 21389 ; 10.100.177.18:60580 ; 报文处理成功
Packet Type:CODE_PP_LOGIN_REQUEST(100)
SerialNo:21389
Address:10.100.166.15
Port:50908
RemoteIp:10.100.177.18
RemotePort:60580
Version:portal 2.0
Auth Type:PAP
ErrorID:0
UserIP:10.100.177.18
UserPort:0
ReqID:0
Rsvd:0
attriNum:7
Relay Message:01 1e 4f 6a 64 53 47 42 31 59 59 53 46 34 47 30 5a 6d 49 67 6f 75 4b 45 62 4e 48 78 6b 3d
Public Ip:10.100.177.18
Private Ip:10.100.177.18
User Name:azVfHxpVY3ApGUthJQcseeA/TRk= 807@imc
User Password:***
Encrypt Enable:1
Start Time:1502182356
Portalserver调试日志中可以看到,在Portal服务器发送给认证设备75E的REQ_AUTH报文中携带用户名也是807@imc,没有异常:
2017-08-08 16:52:39.852[Portal服务器][调试(0)][24][ProxyResponseDeviceHandler::run]
10.100.177.18 ; REQ_AUTH(3) ; 265 ; 10.100.176.254:2000 ; 报文处理成功
Packet Type:REQ_AUTH(3)
SerialNo:265
Address:10.100.166.15
Port:50300
RemoteIp:10.100.176.254
RemotePort:2000
Version:portal 2.0
Auth Type:PAP
ErrorID:0
UserIP:10.100.177.18
UserPort:0
ReqID:0
Rsvd:0
attriNum:4
User Name:azVfHxpVY3ApGUthJQcseeA/TRk= 807@imc
Password:***
Device Ip:10.100.176.254
Relay Message:01 1e 4f 6a 64 53 47 42 31 59 59 53 46 34 47 30 5a 6d 49 67 6f 75 4b 45 62 4e 48 78 6b 3d
认证设备在收到Portal服务器发送的REQ_AUTH报文后先进行合法性检查,报文合法检查通过则构造认证报文RADIUS ACCESS-REQUEST发送给iMC EIA服务器。从UAM调试日志中可以看到,认证设备发送过来的RADIUS 认证请求报文中携带的用户名变成了807@office:
%% 2017-08-08 16:52:39.856 ; [LDBG] ; [6148] ; LAN ;
azVfHxpVY3ApGUthJQcseeA/TRk= 807@office ; 1 ; 38dccf17f1f54ab59c9a98fe2a7978eb ; Received message from 10.100.179.22:
CODE = 1.
ID = 213.
ATTRIBUTES:
User-Name(1) = "..azVfHxpVY3ApGUthJQcseeA/TRk= 807@office".
NAS-Identifier(32) = "SW-WX-7506E-JF-ODF".
Framed-Protocol(7) = 255.
Attribute (25506-230) is not defined in dic file r2.
NAS-Port(5) = 417969.
NAS-Port-Id(87) = "0000102000000177".
hw_IP_Host_Addr(60) = "10.100.177.18 08:57:00:b6:76:63".
Calling-Station-Id(31) = "08-57-00-B6-76-63".
Framed-IP-Address(8) = 174371090.
Acct-Session-Id(44) = "0000000720170808165401000003d02048100295".
Password(2) = "$$$".
Service-Type(6) = 2.
NAS-IP-Address(4) = 174371606.
hw_Product_ID(255) = "H3C S7506E".
hw_Nas_Startup_Timetamp(59) = 1501873488.
至此问题现象明显,认证设备在处理REQ_AUTH报文构造RADIUS ACCESS-REQUEST认证报文的时候将用户名807@imc修改成了807@office。而对于iMC来说,接入用户分配了office的接入服务,所以当登录名是807@office是可以认证成功的。
排除iMC的原因后,继续分析认证设备关于用户名的处理机制。认证设备将用户名807@imc修改成了807@office,其实也就是修改了用户的domain认证域,后缀imc和office在认证设备上分别对应的是domain imc和office,并且Portal认证接口int vlan166和int vlan177下分别有强指定认证域portal domain imc和portal domain office:
#
radius scheme imc
primary authentication 10.100.166.15
primary accounting 10.100.166.15
accounting-on enable
accounting-on extended
key authentication cipher $c$3$tA0TOoz58o4L3J4Jg14qms8bsoOfzg==
key accounting cipher $c$3$tCLUb7tNK552HJP6Mc3YtDe05VZQKA==
#
domain imc
authentication portal radius-scheme imc
authorization portal radius-scheme imc
accounting portal radius-scheme imc
#
domain office
authentication portal radius-scheme imc
authorization portal radius-scheme imc
accounting portal radius-scheme imc
#
interface Vlan-interface176
ip address 10.100.176.254 255.255.255.0
portal enable method direct
portal domain imc
portal bas-ip 10.100.176.254
portal apply web-server imc
#
interface Vlan-interface177
ip address 10.100.177.254 255.255.255.0
portal enable method direct
portal domain office
portal bas-ip 10.100.176.254
portal apply web-server imc
#
经测试发现,在int vlan 177接口下undo掉portal domain office命令后,客户端再输入用户名807@imc进行拨号就正常无法认证成功了。测试说明,在用户名格式为user-name-format with-domain并且认证接口下强制认证域portal domain xx的情况下,认证设备接口下portal domain指定的域名优先级高于REQ_AUTH报文中用户@域名中携带的域名优先级。
正常情况下,当radius scheme下配置用户名格式是用户名@域名user-name-format with-domain的情况下,Portal认证接口下可以不用配置portal domain xx命令来强制指定用户的认证域。
Portal认证接口下取消Portal domain命令。
1.本案例涉及到的关于用户名域名优先级高低只适用Portal认证设备在处理REQ_AUTH报文中用户名携带域名的场景。 对于非REQ_AUTH报文的普通场景下,设备关于用户名域名的优先级高低依次为:用户名@域名即用户自己输入的域名 > portal domain命令指定的域名 > 系统视图下domain default enable命令指定的域名。
2.本案例涉及到的Portal认证设备是Comware V7平台的AC,对于Comware V5平台的AC设备,同样的场景即user-name-format with-domain并且认证接口下强制认证域portal domain xx下,REQ_AUTH报文中用户名@域名中携带的域名优先级高于portal domain指定的域名优先级。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作