关于H3C V7系列交换机版本升级后用户认证失败的公告

关于H3C V7系列交换机版本升级后用户认证失败的公告

 

【产品型号】

S12500系列交换机

S10500 V7系列交换机

S5820V2/S5830V2系列交换机

【涉及版本】

S12500  71XX系列版本升级到73XX系列版本

S10500V7  R210X系列版本升级到R211X系列版本

S5830V2/S5820V2  ESS 2305之前的版本升级到ESS 2305或以上的版本

【问题描述】

下面以S5830V2/S5820V2的ESS 2305之前的版本升级到ESS 2305或以上的版本为例说明，其他产品线产品问题类似。

当采用如下的若干典型配置并且未创建本地用户账户时，将存在该问题。使用以下类似配置升级到ESS 2305或以上的版本，用户无法认证通过。

1、典型配置一 未显示Login用户的AAA计费方法

domain h3c

  authentication login radius xxx

  authorization login radius xxx

  注意:未指定使用的计费方法时，将默认采用本地计费方法。

2、典型配置二 指定Login用户使用的AAA计费方法为本地计费

domain h3c

  authentication login radius xxx

  authorization login radius xxx

  accounting login local

3、典型配置三 指定Login用户使用的AAA计费方法为RADIUS远程计费无效转本地计费

domain h3c

  authentication login radius xxx

  authorization login radius xxx

  accounting login radius xxx local

【原因分析】

ESS 2305及以上版本，本地AAA服务器对本地计费的规格进行了变更，只有用户登录使用的用户名和用户类型与设备上配置的本地用户名和service-type一致，本地计费才能成功；否则本地计费失败。ESS 2305之前的版本上并没有实现完善的本地计费功能，无论设备上是否创建了对应的本地用户，本地计费功能均返回成功。

当从ESS 2305之前版本升级到ESS 2305或以上版本时，如果使用了本地计费方法并且没有配置对应的用户账户时，将导致计费失败，用户无法登录设备。

【规避措施／解决方案】

进行ESS 2305之前的版本到ESS 2305或之后的版本升级之前，请先检查相关配置，将计费相关配置修改如下后，保存配置，再进行版本升级。

1、如果Login用户希望不进行计费，直接将计费方法指定为none

domain h3c

  authentication login radius xxx

  authorization login radius xxx

  accounting login none

2、如果Login用户希望使用RADIUS服务器进行计费，请在服务器上完成相应的用户及计费策略等配置，并指定RADIUS服务器计费无效时转为不计费

domain h3c

  authentication login radius xxx

  authorization login radius xxx

  accounting login radius xxx none    

                                                                           

文中以Radius举例，TACACS作为AAA认证的一种，也有类似问题，通过以上的方案也可以进行规避。