关于S5130S的Radius问题
- 0关注
- 2收藏,2334浏览
问题描述:
公司内部原使用windows的radius服务来认证交换机的登录。
现在想将windows下的radius在linux下实现。
采用freeradius+mysql的方式来做认证。
具体配置在下方,现出现以下问题
在centos开启freeradius调试模式,显示来自192.168.137.100的认证已成功,并且已向客户端发送了Access-Accept消息。
以下为radius调试模式下的输出信息。
由于调试模式输出太多,所以在这里只显示Access-Accept消息。
但是在交换机侧,交换机会主动关闭telnet的连接,并且在交换机内产生一条登录失败的日志。
%Jan 2 00:15:49:094 2013 SW1 LOGIN/5/LOGIN_FAILED: 222 failed to log in from 192.168.137.1.
请忽略日志的日期,因为是测试,故日期没有配置。
现在很好奇是什么情况出现这种radius已经认证成功,但是交换机为什么会主动关闭连接并提示登录失败?
是不是授权的时候的属性错误了?
请各位指点一下
组网及组网描述:
freeradius已与mysql关联
os为centos7.1,IP:192.168.23.114
在centos和交换机之间有一个192.168.137.1的网关
mysql与freeradius同主机。
radius数据库的各表及字段如下:
radcheck 表:
| id | username | attribute | op | value |
|---|---|---|---|---|
| 1 | 222 | User-Password | := | 2222 |
NAS表:
| id | username | shortname | type | ports | secret | server | community | descriptopn |
|---|---|---|---|---|---|---|---|---|
| 1 | 222 | MyNAS_Swtitch | other | testing123 | Radius_c_s |
radreply表:
| id | username | attribute | op | value |
|---|---|---|---|---|
| 1 | 222 | Service-Tpye | := | Login |
| 2 | 222 | Login-Service | := | 0 |
| 2 | 222 | H3C-Exec-Privilege | := | 0x03 |
S5130S-28P-EI
IP:192.168.137.100
涉及到与centos通信、radius相关的配置
vlan 10
int vlan 10
ip add 192.168.137.100
ip route-static 0.0.0.0 0.0.0.0 192.168.137.1
int g 1/0/24
po li ac
po ac v 10
radius session-control enable
radius scheme ice primary authentication 192.168.23.114
key authentication simple testing123
user-name-format without-domain
domain ice
authentication login radius-scheme ice local
authorization login radius-scheme ice local
domain default enable ice
- 2018-10-24提问
- 举报
-
(0)
最佳答案
@墨峰
我只列出debug有问题的输出,话说,这个编辑器好难受,不能自动换行,这么多日志我没法复制啊
画红框的地方是疑似错误点,计费的时候,查找radius服务器的信息,显示为获取失败,然后在,再往下就是收到的账户启动回复信息,结果码:3。
不能再登录,
会不会是必须使用计费功能?
- 2018-10-25回答
- 评论(1)
- 举报
-
(0)
resultCode: 5。显示无效的名户名密码 在服务侧看看用户名和密码是否正确?
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
好的,明天我去公司之后,采集了debug信息后再来
你好,debug了相关信息,但是回复模式的空间太小,请移驾我的帖子
非常感谢您的帮助,并是不用户名密码的问题,因为认证已经成功了,radius权限也授权成功了,今天找了一天问题,后来跟h3c售后合力排查,确定原因是因为v7的个别版本问题,在s5130s-28p-ei的6126p10版本中,使用radius服务器来认证telnet/stelnet的话,需要是domain下多添加一天accounting login none,强制指定无计费服务器,本质上是不知道即无,但是这个版本不强制指定无计费服务器会造成login的失败。问题已经解决了,还是十分感谢您