用户使用inode进行portal单点登录,登陆后inode提示“安全认证失败,当前连接即将被强行终端,请与管理员联系”
收集iNode,UAM,Portal及策略服务器调试级别日志。
iNode调试日志中可以看到iNode在15:00:00发送了EAD1号报文,其中userName=yangnianting@SHLSSB,之后我们再看UAM调试级别日志,如下图所示:
其中UAM中的1号报文中user-name=yangnianting,并未携带域名SHLSSB,通过与现场工程师沟通,发现现场imc侧的接入服务中并没有配置服务后缀,同时在接入设备中user-format也是without domain,我们知道对于华三的接入设备,如果接入设备上配置的是without domain,那么在设备上必须指定认证所用的domain,这样在接入服务中才可以不配置服务后缀。
但是对于单点登录的认证系统来说,单点登录和普通的802.1X或者portal认证方式的唯一区别在于单点登录先进行认证,然后登陆操作系统,而802.1X或者portal认证是先登陆操作系统然后进行认证。对于采用802.1x方式的单点登录,用户可以不配置后缀或者配置后缀并且和域控保持一致,如果是其他厂家的接入设备,服务一定要带后缀。
然而对于portal认证,则用户必须配置服务后缀,并且必须和域控保持一致,即接入设备中必须配置user format with-domain,接入服务中也必须配置和域控一致的服务后缀。对于iNode认证时系统会带上域名,这里就是第一张图中所展示的yangnianting@SSHLSSB,而UAM中的username是yangnianting,那么就会导致两者名称不一致,会导致无法查询到用户的在线信息,从而EAD通知iNode下线。这一点我们可以通过禁用策略服务器来验证,在接入策略管理-业务参数配置-系统配置-策略服务器参数配置中,不勾选“启用策略服务器”一项,那么用户再次进行认证就可通过安全认证。
1、对于portal方式的单点登录,接入服务必须配置服务后缀,且必须和域控保持一致,接入设备上配置
user format with domain
2、对于802.1x方式单点登录,接入服务可以不配置后缀或者配置后缀且和域控保持一致。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作