组网及说明
不涉及
问题描述
现场使用EAD解决方案安装INODE认证上线后不提示域账号快过期,现场有域控服务器,默认3个月会提示用户更换密码。
过程分析
收集inode日志后发现,现场通过inode后不会收到域控服务器推送的消息,认证上线后与域控服务器不通,服务器配置了隔离acl和安全acl
[2019-09-05 09:03:49] [DtlCmn] [3864] SecPkt sndSecMsg: transfer [98] [1566]
<data>
<i n="ISOACL">sIP=0.0.0.0;sMk=0.0.0.0;dIP=192.168.1.171;dMk=255.255.255.255;sPt=0;dPt=0;ptl=65535;drt=1;drp=0;</i>
<i n="ISOACL">sIP=0.0.0.0;sMk=0.0.0.0;dIP=192.168.1.155;dMk=255.255.255.255;sPt=0;dPt=0;ptl=65535;drt=1;drp=0;</i>
<i n="ISOACL">sIP=0.0.0.0;sMk=0.0.0.0;dIP=192.168.1.150;dMk=255.255.255.255;sPt=0;dPt=0;ptl=65535;drt=1;drp=0;</i>
<i n="ISOACL">sIP=0.0.0.0;sMk=0.0.0.0;dIP=192.168.1.8;dMk=255.255.255.255;sPt=0;dPt=0;ptl=65535;drt=1;drp=0;</i>
<i n="ISOACL">sIP=0.0.0.0;sMk=0.0.0.0;dIP=192.168.1.9;dMk=255.255.255.255;sPt=0;dPt=0;ptl=65535;drt=1;drp=0;</i>
<i n="ISOACL">sIP=0.0.0.0;sMk=0.0.0.0;dIP=0.0.0.0;dMk=0.0.0.0;sPt=0;dPt=0;ptl=65535;drt=1;drp=1;</i>
<i n="defaultActionISO">0</i>
<i n="SECACL">sIP=0.0.0.0;sMk=0.0.0.0;dIP=192.168.1.167;dMk=255.255.255.255;sPt=0;dPt=0;ptl=65535;drt=1;drp=1;</i> --发往192.168.1.167出去的报文,丢弃
<i n="SECACL">sIP=0.0.0.0;sMk=0.0.0.0;dIP=192.168.1.168;dMk=255.255.255.255;sPt=0;dPt=0;ptl=65535;drt=1;drp=1;</i> --发往192.168.1.168出去的报文,丢弃
<i n="SECACL">sIP=0.0.0.0;sMk=0.0.0.0;dIP=192.168.1.169;dMk=255.255.255.255;sPt=0;dPt=0;ptl=65535;drt=1;drp=1;</i> --发往192.168.1.169出去的报文,丢弃
<i n="SECACL">sIP=0.0.0.0;sMk=0.0.0.0;dIP=0.0.0.0;dMk=0.0.0.0;sPt=0;dPt=0;ptl=65535;drt=1;drp=0;</i> ---- 默认的发出去报文,是放行
<i n="defaultActionSEC">0</i> - 默认规则是丢弃
<i n="OnlineUnauthACL"/>
<i n="defaultActionOnlineUnauth"/>
<i n="OfflineACL"/>
<i n="defaultActionOffline"/>
<i n="defaultACL">0</i>
</data>
从安全检查结果看是安全的,所以应用的应该是安全ACL,安全ACL规则默认是拒绝的<i n="defaultActionSEC">0</i>
解决方法
现场排查域控服务器的安全ACL,修改配置后问题解决
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作