关于H3C V7系列交换机版本升级后用户认证失败的公告
【产品型号】
S12500系列交换机
S10500 V7系列交换机
S5820V2/S5830V2系列交换机
【涉及版本】
S12500 71XX系列版本升级到73XX系列版本
S10500V7 R210X系列版本升级到R211X系列版本
S5830V2/S5820V2 ESS 2305之前的版本升级到ESS 2305或以上的版本
【问题描述】
下面以S5830V2/S5820V2的ESS 2305之前的版本升级到ESS 2305或以上的版本为例说明,其他产品线产品问题类似。
当采用如下的若干典型配置并且未创建本地用户账户时,将存在该问题。使用以下类似配置升级到ESS 2305或以上的版本,用户无法认证通过。
1、典型配置一 未显示Login用户的AAA计费方法
domain h3c
authentication login radius xxx
authorization login radius xxx
注意:未指定使用的计费方法时,将默认采用本地计费方法。
2、典型配置二 指定Login用户使用的AAA计费方法为本地计费
domain h3c
authentication login radius xxx
authorization login radius xxx
accounting login local
3、典型配置三 指定Login用户使用的AAA计费方法为RADIUS远程计费无效转本地计费
domain h3c
authentication login radius xxx
authorization login radius xxx
accounting login radius xxx local
【原因分析】
ESS 2305及以上版本,本地AAA服务器对本地计费的规格进行了变更,只有用户登录使用的用户名和用户类型与设备上配置的本地用户名和service-type一致,本地计费才能成功;否则本地计费失败。ESS 2305之前的版本上并没有实现完善的本地计费功能,无论设备上是否创建了对应的本地用户,本地计费功能均返回成功。
当从ESS 2305之前版本升级到ESS 2305或以上版本时,如果使用了本地计费方法并且没有配置对应的用户账户时,将导致计费失败,用户无法登录设备。
【规避措施/解决方案】
进行ESS 2305之前的版本到ESS 2305或之后的版本升级之前,请先检查相关配置,将计费相关配置修改如下后,保存配置,再进行版本升级。
1、如果Login用户希望不进行计费,直接将计费方法指定为none
domain h3c
authentication login radius xxx
authorization login radius xxx
accounting login none
2、如果Login用户希望使用RADIUS服务器进行计费,请在服务器上完成相应的用户及计费策略等配置,并指定RADIUS服务器计费无效时转为不计费
domain h3c
authentication login radius xxx
authorization login radius xxx
accounting login radius xxx none
文中以Radius举例,TACACS作为AAA认证的一种,也有类似问题,通过以上的方案也可以进行规避。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作