S12510X 使用HWTACACS和第三方AAA服务器对接,为telnet登录做验证,服务器侧显示验证通过,但是用户这边一直没办法登录设备,通过debug信息发现验证授权计费全部成功后马上开始了accounting-stop。
*Apr 6 10:53:56:839 2016 DC-P-117-B-6-NSW01 TACACS/7/EVENT: PAM_TACACS: Processing accounting reply packet.
*Apr 6 10:53:56:840 2016 DC-P-117-B-6-NSW01 TACACS/7/EVENT: PAM_TACACS: Reply message successfully sent.
*Apr 6 10:53:56:840 2016 DC-P-117-B-6-NSW01 TACACS/7/EVENT: PAM_TACACS: Processed accounting-stop reply message, resultCode: 0.
*Apr 6 10:53:56:841 2016 DC-P-117-B-6-NSW01 TACACS/7/EVENT: PAM_TACACS: TACACS stop-accounting succeeded.
*Apr 6 10:53:56:845 2016 DC-P-117-B-6-NSW01 TELNETD/7/RUN: Successfully closed PTY.
由于AAA服务器没下发用户角色,并且设备也没有使能缺省角色导致的。对于通过AAA认证登录设备的用户,由AAA服务器(远程认证)或设备(本地认证)为其授权对应的用户角色。如果用户没有被授权任何用户角色,将无法成功登录设备。缺省用户角色授权功能处于关闭状态,没有被AAA授权用户角色的用户不能登录设备。role default-role enable命令用来使能缺省用户角色授权功能。undo role default-role enable命令用来恢复缺省情况。
使能缺省用户角色后该功能后,用户将在没有被授权任何用户角色的情况下,具有一个缺省的用户角色,具体情况如下:
如果用户登录于缺省MDC,则缺省用户角色为network-operator;
如果用户登录于非缺省MDC,则缺省用户角色为mdc-operator。
若用户通过AAA认证且被授予了具体的用户角色,则用户不具有以上缺省的用户角色。
1.需要AAA服务器给用户下发用户角色。
2.或者需要全局使能:role default-role enable
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作