iMC iNode实现portal单点登录后用户提示安全认证失败的解决方法

用户使用inode进行portal单点登录，登陆后inode提示“安全认证失败，当前连接即将被强行终端，请与管理员联系”

收集iNode，UAM，Portal及策略服务器调试级别日志。

iNode调试日志中可以看到iNode在15:00:00发送了EAD1号报文，其中userName=yangnianting@SHLSSB，之后我们再看UAM调试级别日志，如下图所示:

其中UAM中的1号报文中user-name=yangnianting，并未携带域名SHLSSB，通过与现场工程师沟通，发现现场imc侧的接入服务中并没有配置服务后缀，同时在接入设备中user-format也是without domain，我们知道对于华三的接入设备，如果接入设备上配置的是without domain,那么在设备上必须指定认证所用的domain，这样在接入服务中才可以不配置服务后缀。

但是对于单点登录的认证系统来说，单点登录和普通的802.1X或者portal认证方式的唯一区别在于单点登录先进行认证，然后登陆操作系统，而802.1X或者portal认证是先登陆操作系统然后进行认证。对于采用802.1x方式的单点登录，用户可以不配置后缀或者配置后缀并且和域控保持一致，如果是其他厂家的接入设备，服务一定要带后缀。

然而对于portal认证，则用户必须配置服务后缀，并且必须和域控保持一致，即接入设备中必须配置user format with-domain，接入服务中也必须配置和域控一致的服务后缀。对于iNode认证时系统会带上域名，这里就是第一张图中所展示的yangnianting@SSHLSSB，而UAM中的username是yangnianting，那么就会导致两者名称不一致，会导致无法查询到用户的在线信息，从而EAD通知iNode下线。这一点我们可以通过禁用策略服务器来验证，在接入策略管理-业务参数配置-系统配置-策略服务器参数配置中，不勾选“启用策略服务器”一项，那么用户再次进行认证就可通过安全认证。

1、对于portal方式的单点登录，接入服务必须配置服务后缀，且必须和域控保持一致，接入设备上配置

user format with domain

2、对于802.1x方式单点登录，接入服务可以不配置后缀或者配置后缀且和域控保持一致。