portal认证失败提示rejected by server问题处理方法

portal认证失败，客户端提示rejected by server或者rejected by local server。

无。

设备上配置认证时，通常有两个主要步骤，一个是配置radius scheme方案，描述认证服务器的地址，认证秘钥信息，一个是配置domain域，指定接口在认证时按照哪个域的方案来进行，出现rejected by server错误通常是由于设备上这两部分配置错误，导致用户的认证没有被发送到iMC来，而是在设备本地进行认证，但是设备本地又没有创建用户，所以导致认证失败，提示被服务器拒绝。

此处常见的配置错误原因主要有以下几种：

1. 认证域配置错误。

#
      domain default enable system
    #

#

  radius scheme portal
        server-type extended
        primary authentication 10.1.1.100
        primary accounting 10.1.1.100
        key authentication cipher $c$3$pHNsaSnYYarL1D0JElX2+o/k7jPJCzCh2g==
        key accounting cipher $c$3$4HMPxTBLQgI9uu/0n5NWWbzYO09CUAnotQ==
    #

#
      domain portal
        authentication portal radius-scheme portal
        authorization portal radius-scheme portal
        accounting portal radius-scheme portal
        access-limit disable
        state active
        idle-cut disable
        self-service-url disable

#

#
      interface Vlan-interface1
        ip address 172.16.1.1 255.255.255.0
        portal server IMC1 method direct
        portal nas-ip 10.1.1.1
    #

比如上例中，默认域是system，然后portal域配置的是引用radius scheme进行远程portal认证，但是在接口下只开启了portal认证，并没有指定认证所用的域，那么设备会调用默认的system域，而system域又没有配置引用radius scheme进行远程认证，所以会在本地进行认证。

此问题有两种解决方法，一是使用命令domain default enable portal修改默认域为portal，二是在接口下直接指定认证域为portal，命令如下

#
      interface Vlan-interface1
        ip address 172.16.1.1 255.255.255.0
        portal server IMC1 method direct
        portal domain portal
    #

2. radius方案下认证类型配置错误。

#
      domain default enable portal
    #

#

  radius scheme portal
        server-type extended
        primary authentication 10.1.1.100
        primary accounting 10.1.1.100
        key authentication cipher $c$3$pHNsaSnYYarL1D0JElX2+o/k7jPJCzCh2g==
        key accounting cipher $c$3$4HMPxTBLQgI9uu/0n5NWWbzYO09CUAnotQ==
    #

#
      domain portal
        authentication lan-access radius-scheme portal
        authorization lan-access radius-scheme portal
        accounting lan-access radius-scheme portal
        access-limit disable
        state active
        idle-cut disable
        self-service-url disable

#

如上配置中，认证域配置没有问题。但是域下配置的是只有lan-access认证时才会引用radius scheme去进行远程认证，也就是只有802.1X认证才是远程认证，portal认证会在本地进行。解决方法为将lan-access改成portal，如下所示：

#
      domain portal
        authentication portal radius-scheme portal
        authorization portal radius-scheme portal
        accounting portal radius-scheme portal
        access-limit disable
        state active
        idle-cut disable
        self-service-url disable

#

补充：如果一个域下要配置所有认证方式都引用radius scheme进行远程认证，可以配置为default。如下：

#
      domain portal
        authentication default radius-scheme portal
        authorization default radius-scheme portal
        accounting default radius-scheme portal
        access-limit disable
        state active
        idle-cut disable
        self-service-url disable

#

配置过程中请确保认证域和radius方案之间的调用关系配置正确，并且如果iMC上的接入服务没有带后缀，radius scheme中也要配置user-name format为without-domain