认证设备与iMC TAM网络可达,设备配置认证服务器为TAM服务器。
某局点客户设备配置使用远端TAM服务器作为认证服务器后,设备登录认证时报错提示E65004: User does not exist..
收集TAM debug级别的日志中确认,设备登录认证时使用账号名test@system
% 2018-06-14 15:16:43 ; [L_DEBUG (4)] ; [17128] ; TAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; CheckMsgBody(): Recv msg content is RT[0]: Receive message from y.y.y.y:
PACKET_TYPE = AUTHEN.
AUTHEN_ACTION = AUTHEN.
AUTHEN_PRIV_LEVEL = 0.
AUTHEN_AUTHEN_TYPE = TAC_PLUS_AUTHEN_TYPE_ASCII.
AUTHEN_AUTHEN_SERVICE = TAC_PLUS_SVC_LOGIN.
AUTHEN_USER = test@system.
AUTHEN_PORT = vty3.
AUTHEN_REM_ADDR = x.x.x.x.
AUTHEN_DATA = $$$.
SESSION_ID = 1031474660.
服务器侧收到该报文信息后
日志处理内容出现如下错误信息
% 2018-06-14 15:16:43 ; [WARNING (2)] ; [9384] ; MNG ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [authenLogin] User not exist and no syn according need LDAP policy.
% 2018-06-14 15:16:43 ; [WARNING (2)] ; [9384] ; MNG ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [processAuthenASCII] Call authenLogin fail with the error msg E65004: User does not exist..
% 2018-06-14 15:16:43 ; [L_DEBUG (4)] ; [9384] ; TAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [send_authen_reply] Sent msg content is
PACKET_TYPE = AUTHEN_REPLY.
AUTHEN_STATUS = TAC_PLUS_AUTHEN_STATUS_FAIL.
AUTHEN_FLAGS = 1.
AUTHEN_SERVER_MSG = E65004: User does not exist..
AUTHEN_DATA= .
SESSION_ID = 1031474660.
可以看到收到用户的认证请求中账号名信息为test@system,而实际创建的账号名为test导致异常。
此时需要注意TAM与UAM不同,没有接入服务可以以服务后缀唯一标识用户的服务,对应设备的domain域信息。
此时解决方案有2种:
1、修改设备的认证策略
登录设备
[AC]hwtacacs scheme zx
[AC-hwtacacs-zx]user-name-format without-domain
将认证策略设置为不带域,在设备中指定缺省域为hwtacacs scheme zx对应的domain system
[AC]domain default enable system
然后用户登录设备时使用账号test即可。
2、修改TAM侧创建的账号名,设备配置保持当前配置。TAM侧创建一个账号名为test@system的账号。
上述2种方式选择其中一个修改即可。认证时with-domain的格式中,创建的账号名应为账号名@域;without-domain时,设备要有缺省域,且TAM侧创建的账号无后缀。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作