S9500/R12XX版本升级到R21XX版本时本地Radius认证失败问题的解决方法

 

S9500/R12XX版本升级到R21XX版本时本地Radius认证失败问题的解决方法

 

一、  问题描述：

在R12xx版本升级到R21XX版本时，若启用了本地radius认证，Telnet用户配置radius认证，则可能出现用户telnet登录认证失败问题。

1. 问题产生条件

1) 主机使用R12XX版本

2) 在主机上配置了如下命令，启用vty用户使用radius认证

user-interface vty 0 4

 authentication-mode scheme

3) 没有在radius scheme system下配置key authentication命令

4) 其他皆为默认配置

二、  原因分析：

1. 在升级前的配置情况

升级前配置如下，除了以下标红的命令，其他的配置都是R12xx的默认配置

#

local-server nas-ip 127.0.0.1 key huawei  # 默认系统会使用huawei作为key

#

radius scheme system

 server-type huawei

 primary authentication 127.0.0.1 1645

 primary accounting 127.0.0.1 1646

 user-name-format without-domain

#

domain system

 scheme radius-scheme system  # 该命令是用户配置，默认配置中没有

 vlan-assignment-mode integer

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

配置了scheme radius-scheme system命令以后，系统启用Radius认证，此时是在本地认证。

#

local-user admin

 service-type telnet

#

user-interface vty 0 4

 authentication-mode scheme

#

在VTY下配置使用Radius认证，也相应配置了local-user。（注意：在此没有配置和本地radius交互的key：huawei）

此时用户登录正常。

2. 升级后的配置情况

升级到R21XX版本后，Startup配置文件自动发生变化，原scheme radius-scheme system命令被自动替换为如下标红的三行命令，其他配置没有发生实质变化。

#

domain system  

 authentication default radius-scheme system

 authorization default radius-scheme system

 accounting default radius-scheme system

 state active  

 idle-cut disable

 self-service-url disable

#

此时使用telnet已经无法登录，提示“% Login failed!”。

此时进行配置更改，添加radius认证key：

#

radius scheme system

 server-type extended

 primary authentication 127.0.0.1 1645

 primary accounting 127.0.0.1 1646

 key authentication huawei

 key accounting huawei

 user-name-format without-domain

#

另外，若不配置radius认证key，也可将如下三条命令undo，或者配置为local模式

authentication default radius-scheme system

authorization default radius-scheme system

accounting default radius-scheme system

此时telnet用户admin便可以正常登录。

 

3. 分析结论

问题的关键在于radius scheme system下key authentication没有配置，比较奇怪的是为何在R12xx版本下没有配置该认证key，也可以正常使用。

三、  解决方法：

解决方案有如下两种，可选择其一实施：

1) 在radius scheme中配置认证密钥key authentication和key accounting，其中密钥应和local-server nas-ip后配置的key一致；

2) 将认证模式手动改为local认证或undo 如下三条命令：

authentication default radius-scheme system

authorization default radius-scheme system

accounting default radius-scheme system