某局点无线802.1x认证与第三方服务器对接失败问题处理经验案例

AC与第三方认证服务器对接802.1x认证

V7 AC（WX2540H  version 7.1.064, Release 5217）与第三方服务器配置802.1X认证，测试发现终端认证不通过,AC侧有用户认证失败信息，但服务器侧有授权成功的信息，客户现场有V5 AC设备可以正常进行802.1X认证，经配置对比发现radius配置为缺省带域名方式，修改为不带域名后认证测试依然失败，收集日志排查发现有错误报文提示：

%Mar  6 17:17:57:359 2019 H3C DOT1X/5/DOT1X_WLAN_LOGIN_FAILURE: -Username=XXX-UserMAC=4c32-7599-XXXX-BSSID=dcda-809a-ce70-SSID=XXXX-VLANID=72; A user failed 802.1X authentication.

收集AC配置，配置中客户未开启radius计费服务，只使用认证服务，查看AC配置发现服务模板下配置的1x认证密钥加密套件还配置了密钥，但实际1x认证时是不需要配置psk密钥的，删除PSK密钥配置：

wlan service-template lattebank 

 ssid XXXX 

 vlan 72 

 akm mode dot1x 

 preshared-key pass-phrase cipher $c$3$B6eoJ/L7cCmhXaRWNnQ6quKr3BtYlzSM+u9vLzohkw== 

 cipher-suite ccmp 

 cipher-suite tkip 

 security-ie rsn 

 security-ie wpa 

 client-security authentication-mode dot1x 

 dot1x domain dataseed 

 service-template enable 

 bonjour apply policy 1

PSK密钥配置删除后，认证依然失败，尝试收集debug信息和抓包信息分析，发现在认证时，radius恢复的access-accept报文中携带授权vlan信息，但实际设备上并没有配置该vlan，并且该授权vlan并不是客户需要使用的业务vlan，信息如下：

debug信息：

*Mar 6 17:17:38:635 2019 H3C RADIUS/7/PACKET: 

 Tunnel-Private-Group-Id:0="201"   //radius回复的access-accept报文中携带授权vlan下发，vlan id为201

 EAP-Message=0x030d0004 

 Class=0xc04e0b0200000137000102000a64019d0000000028fc5ff7f4f8697401d3a19a0e8d11b000000000015e9b12 

 Microsoft-Attr-10=0x014f41 

 MSCHAPv2_Success=0x01533d32414536413733324533343142443143343536434230363537434136313839374638343045354246 

 MS-MPPE-Send-Key=****** 

 MS-MPPE-Receive-Key=****** 

 Message-Authenticator=0x319c262f1d45d894ea7b781f5389e208 

抓包信息：

协调服务器侧删除授权vlan下发配置解决