某局点使用TAM组件设备接入认证时提示E65004: User does not exist..

认证设备与iMC TAM网络可达，设备配置认证服务器为TAM服务器。

某局点客户设备配置使用远端TAM服务器作为认证服务器后，设备登录认证时报错提示E65004: User does not exist..  

收集TAM debug级别的日志中确认，设备登录认证时使用账号名test@system

% 2018-06-14 15:16:43 ; [L_DEBUG (4)] ; [17128] ; TAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; CheckMsgBody(): Recv msg content is RT[0]: Receive message from y.y.y.y:

 PACKET_TYPE = AUTHEN. 

AUTHEN_ACTION = AUTHEN. 

AUTHEN_PRIV_LEVEL = 0. 

AUTHEN_AUTHEN_TYPE = TAC_PLUS_AUTHEN_TYPE_ASCII. 

AUTHEN_AUTHEN_SERVICE = TAC_PLUS_SVC_LOGIN. 

AUTHEN_USER = test@system. 

AUTHEN_PORT = vty3. 

AUTHEN_REM_ADDR = x.x.x.x. 

AUTHEN_DATA = $$$. 

SESSION_ID = 1031474660.

服务器侧收到该报文信息后

日志处理内容出现如下错误信息

% 2018-06-14 15:16:43 ; [WARNING (2)] ; [9384] ; MNG ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [authenLogin] User not exist and no syn according need LDAP policy. 

% 2018-06-14 15:16:43 ; [WARNING (2)] ; [9384] ; MNG ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [processAuthenASCII] Call authenLogin fail with the error msg E65004: User does not exist.. 

% 2018-06-14 15:16:43 ; [L_DEBUG (4)] ; [9384] ; TAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [send_authen_reply] Sent msg content is 

PACKET_TYPE = AUTHEN_REPLY.

 AUTHEN_STATUS = TAC_PLUS_AUTHEN_STATUS_FAIL. 

AUTHEN_FLAGS = 1. 

AUTHEN_SERVER_MSG = E65004: User does not exist.. 

AUTHEN_DATA= . 

SESSION_ID = 1031474660.

可以看到收到用户的认证请求中账号名信息为test@system，而实际创建的账号名为test导致异常。

此时需要注意TAM与UAM不同，没有接入服务可以以服务后缀唯一标识用户的服务，对应设备的domain域信息。

此时解决方案有2种：

1、修改设备的认证策略

登录设备

[AC]hwtacacs scheme zx

[AC-hwtacacs-zx]user-name-format without-domain

将认证策略设置为不带域，在设备中指定缺省域为hwtacacs scheme zx对应的domain system

[AC]domain default enable system

然后用户登录设备时使用账号test即可。

2、修改TAM侧创建的账号名，设备配置保持当前配置。TAM侧创建一个账号名为test@system的账号。

上述2种方式选择其中一个修改即可。认证时with-domain的格式中，创建的账号名应为账号名@域；without-domain时，设备要有缺省域，且TAM侧创建的账号无后缀。