拓扑如下:
IMC地址10.1.2.5 ACG地址10.1.99.250
现场ACG1000串联在网络出口上,IMC做内网用户的portal认证,ACG不参与认证同步在线IMC用户。发现ACG 1000 “在线用户管理上“上始终无法获取到正常的认证用户组信息,显示为默认组属性“IMC”:
下图为IMC上该用户实际组信息:
1.排查ACG侧配置,发现配置基本无误。ACG不参与认证与IMC对接,ACG作为信息接收方,会解析来自IMC的UDP 9999报文。在ACG上抓取的报文如下:
debugging 信息中同样信息组为空:
2.接着排查IMC侧配置,发现配置基本无误,配置如下:
admin用户关联用户组“2”,接入策略中选中下发用户组“2”,均采用私有9999报文下发给ACG信息。
3.最后比对在ACG和IMC的抓包发现携带信息被丢失,经过交换机侧的排查发现,由于使用IMC与ACG联动同步用户组时,要求交换机设备忽略radius 2号报文(即带有user-group属性的radius报文)。交换机默认响应该属性,但是交换机目前版本没有用户组的概念,所以会响应失败。
在交换机侧坐如下配置操作后,同步信息完成:
radius scheme imc
attribute translate
attribute reject H3C-User-Group received
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作