iNode提示安全认证失败的问题分析

iNode提示安全认证失败的问题分析

一、   组网

无。

二、问题描述：在使用iNode认证，并且iMC服务器侧启用了策略服务器的场景中。iNode输入用户名密码，在认证成功后，很快提示“安全认证失败，当前连接即将被强行中断，请与管理员联系”。

三、过程分析：在iMC侧启用策略服务器的场景中，使用iNode认证成功后，iNode会与iMC策略服务器有EAD报文交互。客户端iNode发出的EAD 1号报文到策略服务器，策略服务器会同步iMC在线表中的账号信息后回应EAD 2号报文。当策略服务器同步iMC在线表账号信息失败时 ，EAD 2号报文携带安全认证失败信息，通知客户端iNode下线。

可在iNode详细级别日志SecPkt[time].log中见到同步用户失败true提示，如下：
[2014-07-18 19:34:28] [DtlCmn] [12a8] sndSecMsg: transfer [2] [1176]

    true

在iMC EAD调试级别日志中会有记录如下：

2014-07-18 19:30:56 [策略服务器] [信息 (0)] [24] [RequestProcessor::procRequestLogon] 同步用户 liugk 上线请求处理时，获取在线信息失败

四、解决方法

常见原因有如下两种：

1、iMC用户在线表一般是通过设备侧发送radius accounting报文来维持的，对于某账号，EAD认证报文早于第一个计费报文到达iMC，这时在线表中还没有账号的在线状态。

常由于设备没有或延时发送计费报文，也有可能iNode客户端发起EAD认证较身份验证的时间太晚。

2、UAM在线表中账号的格式与EAD认证报文中账号的格式不一致，导致无对应账号的在线信息。早期iMC已知问题，EAD认证中账号A，但是UAM在线表中是A@B的情况，导致安全认证失败。新版本配合设备可以规避，但是设备必须可以通传radius扩展属性（hw_User_Notify）。

信息收集：若无法定位问题原因，请收集信息反馈二线。定位分析需要收集的信息包括但不仅限客户端iNode 详细级别日志、UAM调试日志、EAD调试日志。