portal认证失败,客户端提示rejected by server或者rejected by local server。
无。
设备上配置认证时,通常有两个主要步骤,一个是配置radius scheme方案,描述认证服务器的地址,认证秘钥信息,一个是配置domain域,指定接口在认证时按照哪个域的方案来进行,出现rejected by server错误通常是由于设备上这两部分配置错误,导致用户的认证没有被发送到iMC来,而是在设备本地进行认证,但是设备本地又没有创建用户,所以导致认证失败,提示被服务器拒绝。
此处常见的配置错误原因主要有以下几种:
1. 认证域配置错误。
#
domain default enable system
#
#
radius scheme portal
server-type extended
primary authentication 10.1.1.100
primary accounting 10.1.1.100
key authentication cipher $c$3$pHNsaSnYYarL1D0JElX2+o/k7jPJCzCh2g==
key accounting cipher $c$3$4HMPxTBLQgI9uu/0n5NWWbzYO09CUAnotQ==
#
#
domain portal
authentication portal radius-scheme portal
authorization portal radius-scheme portal
accounting portal radius-scheme portal
access-limit disable
state active
idle-cut disable
self-service-url disable
#
#
interface Vlan-interface1
ip address 172.16.1.1 255.255.255.0
portal server IMC1 method direct
portal nas-ip 10.1.1.1
#
比如上例中,默认域是system,然后portal域配置的是引用radius scheme进行远程portal认证,但是在接口下只开启了portal认证,并没有指定认证所用的域,那么设备会调用默认的system域,而system域又没有配置引用radius scheme进行远程认证,所以会在本地进行认证。
此问题有两种解决方法,一是使用命令domain default enable portal修改默认域为portal,二是在接口下直接指定认证域为portal,命令如下
#
interface Vlan-interface1
ip address 172.16.1.1 255.255.255.0
portal server IMC1 method direct
portal domain portal
#
2. radius方案下认证类型配置错误。
#
domain default enable portal
#
#
radius scheme portal
server-type extended
primary authentication 10.1.1.100
primary accounting 10.1.1.100
key authentication cipher $c$3$pHNsaSnYYarL1D0JElX2+o/k7jPJCzCh2g==
key accounting cipher $c$3$4HMPxTBLQgI9uu/0n5NWWbzYO09CUAnotQ==
#
#
domain portal
authentication lan-access radius-scheme portal
authorization lan-access radius-scheme portal
accounting lan-access radius-scheme portal
access-limit disable
state active
idle-cut disable
self-service-url disable
#
如上配置中,认证域配置没有问题。但是域下配置的是只有lan-access认证时才会引用radius scheme去进行远程认证,也就是只有802.1X认证才是远程认证,portal认证会在本地进行。解决方法为将lan-access改成portal,如下所示:
#
domain portal
authentication portal radius-scheme portal
authorization portal radius-scheme portal
accounting portal radius-scheme portal
access-limit disable
state active
idle-cut disable
self-service-url disable
#
补充:如果一个域下要配置所有认证方式都引用radius scheme进行远程认证,可以配置为default。如下:
#
domain portal
authentication default radius-scheme portal
authorization default radius-scheme portal
accounting default radius-scheme portal
access-limit disable
state active
idle-cut disable
self-service-url disable
#
配置过程中请确保认证域和radius方案之间的调用关系配置正确,并且如果iMC上的接入服务没有带后缀,radius scheme中也要配置user-name format为without-domain
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作