iNode提示安全认证失败的问题分析
一、 组网
无。
二、问题描述:在使用iNode认证,并且iMC服务器侧启用了策略服务器的场景中。iNode输入用户名密码,在认证成功后,很快提示“安全认证失败,当前连接即将被强行中断,请与管理员联系”。
三、过程分析:在iMC侧启用策略服务器的场景中,使用iNode认证成功后,iNode会与iMC策略服务器有EAD报文交互。客户端iNode发出的EAD 1号报文到策略服务器,策略服务器会同步iMC在线表中的账号信息后回应EAD 2号报文。当策略服务器同步iMC在线表账号信息失败时 ,EAD 2号报文携带安全认证失败信息,通知客户端iNode下线。
可在iNode详细级别日志SecPkt[time].log中见到同步用户失败true提示,如下:
[2014-07-18 19:34:28] [DtlCmn] [12a8] sndSecMsg: transfer [2] [1176]
true
在iMC EAD调试级别日志中会有记录如下:
2014-07-18 19:30:56 [策略服务器] [信息 (0)] [24] [RequestProcessor::procRequestLogon] 同步用户 liugk 上线请求处理时,获取在线信息失败
四、解决方法
常见原因有如下两种:
1、iMC用户在线表一般是通过设备侧发送radius accounting报文来维持的,对于某账号,EAD认证报文早于第一个计费报文到达iMC,这时在线表中还没有账号的在线状态。
常由于设备没有或延时发送计费报文,也有可能iNode客户端发起EAD认证较身份验证的时间太晚。
2、UAM在线表中账号的格式与EAD认证报文中账号的格式不一致,导致无对应账号的在线信息。早期iMC已知问题,EAD认证中账号A,但是UAM在线表中是A@B的情况,导致安全认证失败。新版本配合设备可以规避,但是设备必须可以通传radius扩展属性(hw_User_Notify)。
信息收集:若无法定位问题原因,请收集信息反馈二线。定位分析需要收集的信息包括但不仅限客户端iNode 详细级别日志、UAM调试日志、EAD调试日志。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作