iMC EIA Portal认证用户没有分配相关接入服务却能认证成功的问题分析

某局点在交换机S7506E(version 7.1.070, Release7536P05)上启用Portal认证，使用iMC EIA (7.2E0411H10)作为认证服务器。客户想实现对不同的接入用户分配不同的接入服务，于是创建了两个接入服务imc和office，对应的服务后缀分别为imc和office，如下图所示：

并且配置了服务类型一一对应，如下图所示：

现场拨号测试的时候发现异常，接入用户807只分配了接入服务office：

但是选择服务imc也能认证成功，并且在iMC在线用户列表中看到的登录名为807@office：

正常情况下如果接入用户807没有分配接入服务imc，客户端使用807@imc拨号应该认证失败并且提示“用户不存在没有申请该服务”，而从现场反馈的实际现象来看，iNode使用807@imc却能拨号成功，并且在线用户列表中显示的登录名是807@office，对于这种异常的情况，需要具体从Portal、UAM日志中分析接入用户名在报文中的实际携带情况。

Portalserver调试日志中可以看到客户端发送给Portal服务器的CODE_PP_LOGIN_REQUEST报文中携带的用户名为807@imc，说明用户选择的服务类型确实为imc：

2017-08-08 16:52:39.835[Portal服务器][调试(0)][21][ProxyRequestHandler::run]10.100.177.18 ; CODE_PP_LOGIN_REQUEST(100) ; 21389 ; 10.100.177.18:60580 ; 报文处理成功

        Packet Type:CODE_PP_LOGIN_REQUEST(100)

        SerialNo:21389

        Address:10.100.166.15

        Port:50908

        RemoteIp:10.100.177.18

        RemotePort:60580

        Version:portal 2.0

        Auth Type:PAP

        ErrorID:0

        UserIP:10.100.177.18

        UserPort:0

        ReqID:0

        Rsvd:0

        attriNum:7

        Relay Message:01 1e 4f 6a 64 53 47 42 31 59 59 53 46 34 47 30 5a 6d 49 67 6f 75 4b 45 62 4e 48 78 6b 3d

        Public Ip:10.100.177.18

        Private Ip:10.100.177.18

        User Name:azVfHxpVY3ApGUthJQcseeA/TRk=  807@imc

        User Password:***

        Encrypt Enable:1

        Start Time:1502182356

Portalserver调试日志中可以看到，在Portal服务器发送给认证设备75E的REQ_AUTH报文中携带用户名也是807@imc，没有异常：

2017-08-08 16:52:39.852[Portal服务器][调试(0)][24][ProxyResponseDeviceHandler::run]

10.100.177.18 ; REQ_AUTH(3) ; 265 ; 10.100.176.254:2000 ; 报文处理成功

        Packet Type:REQ_AUTH(3)

        SerialNo:265

        Address:10.100.166.15

        Port:50300

        RemoteIp:10.100.176.254

        RemotePort:2000

        Version:portal 2.0

        Auth Type:PAP

        ErrorID:0

        UserIP:10.100.177.18

        UserPort:0

        ReqID:0

        Rsvd:0

        attriNum:4

        User Name:azVfHxpVY3ApGUthJQcseeA/TRk=  807@imc

        Password:***

        Device Ip:10.100.176.254

        Relay Message:01 1e 4f 6a 64 53 47 42 31 59 59 53 46 34 47 30 5a 6d 49 67 6f 75 4b 45 62 4e 48 78 6b 3d

认证设备在收到Portal服务器发送的REQ_AUTH报文后先进行合法性检查，报文合法检查通过则构造认证报文RADIUS ACCESS-REQUEST发送给iMC EIA服务器。从UAM调试日志中可以看到，认证设备发送过来的RADIUS 认证请求报文中携带的用户名变成了807@office：

%% 2017-08-08 16:52:39.856 ; [LDBG] ; [6148] ; LAN ;

azVfHxpVY3ApGUthJQcseeA/TRk=  807@office ; 1 ; 38dccf17f1f54ab59c9a98fe2a7978eb ; Received message from 10.100.179.22:

CODE = 1.

ID = 213.

ATTRIBUTES:

    User-Name(1) = "..azVfHxpVY3ApGUthJQcseeA/TRk=  807@office".

    NAS-Identifier(32) = "SW-WX-7506E-JF-ODF".

    Framed-Protocol(7) = 255.

    Attribute (25506-230) is not defined in dic file r2.

    NAS-Port(5) = 417969.

    NAS-Port-Id(87) = "0000102000000177".

    hw_IP_Host_Addr(60) = "10.100.177.18 08:57:00:b6:76:63".

    Calling-Station-Id(31) = "08-57-00-B6-76-63".

    Framed-IP-Address(8) = 174371090.

    Acct-Session-Id(44) = "0000000720170808165401000003d02048100295".

    Password(2) = "$$$".

    Service-Type(6) = 2.

    NAS-IP-Address(4) = 174371606.

    hw_Product_ID(255) = "H3C S7506E".

    hw_Nas_Startup_Timetamp(59) = 1501873488.

至此问题现象明显，认证设备在处理REQ_AUTH报文构造RADIUS ACCESS-REQUEST认证报文的时候将用户名807@imc修改成了807@office。而对于iMC来说，接入用户分配了office的接入服务，所以当登录名是807@office是可以认证成功的。

排除iMC的原因后，继续分析认证设备关于用户名的处理机制。认证设备将用户名807@imc修改成了807@office，其实也就是修改了用户的domain认证域，后缀imc和office在认证设备上分别对应的是domain imc和office，并且Portal认证接口int vlan166和int vlan177下分别有强指定认证域portal domain imc和portal domain office：

#

radius scheme imc

 primary authentication 10.100.166.15

 primary accounting 10.100.166.15

 accounting-on enable

 accounting-on extended

 key authentication cipher $c$3$tA0TOoz58o4L3J4Jg14qms8bsoOfzg==

 key accounting cipher $c$3$tCLUb7tNK552HJP6Mc3YtDe05VZQKA==

#

domain imc

 authentication portal radius-scheme imc

 authorization portal radius-scheme imc

 accounting portal radius-scheme imc

#

domain office

 authentication portal radius-scheme imc

 authorization portal radius-scheme imc

 accounting portal radius-scheme imc

#

interface Vlan-interface176

 ip address 10.100.176.254 255.255.255.0

 portal enable method direct

 portal domain imc

 portal bas-ip 10.100.176.254

 portal apply web-server imc

#

interface Vlan-interface177

 ip address 10.100.177.254 255.255.255.0

 portal enable method direct

 portal domain office

 portal bas-ip 10.100.176.254

 portal apply web-server imc

#

经测试发现，在int vlan 177接口下undo掉portal domain office命令后，客户端再输入用户名807@imc进行拨号就正常无法认证成功了。测试说明，在用户名格式为user-name-format with-domain并且认证接口下强制认证域portal domain xx的情况下，认证设备接口下portal domain指定的域名优先级高于REQ_AUTH报文中用户@域名中携带的域名优先级。

正常情况下，当radius scheme下配置用户名格式是用户名@域名user-name-format with-domain的情况下，Portal认证接口下可以不用配置portal domain xx命令来强制指定用户的认证域。

Portal认证接口下取消Portal domain命令。

1.本案例涉及到的关于用户名域名优先级高低只适用Portal认证设备在处理REQ_AUTH报文中用户名携带域名的场景。 对于非REQ_AUTH报文的普通场景下，设备关于用户名域名的优先级高低依次为：用户名@域名即用户自己输入的域名 > portal domain命令指定的域名 > 系统视图下domain default enable命令指定的域名。

2.本案例涉及到的Portal认证设备是Comware V7平台的AC，对于Comware V5平台的AC设备，同样的场景即user-name-format with-domain并且认证接口下强制认证域portal domain xx下，REQ_AUTH报文中用户名@域名中携带的域名优先级高于portal domain指定的域名优先级。