某局点无线控制器登录web界面显示空白经验案例

AC型号为WX2560X，版本E5612P03,电脑有线直连AC，PC与电脑可以互相ping通

现场PC之前可以访问AC的web，但是现场反馈某天开始PC无法访问AC的web界面，登录AC的web界面可以正常输入用户名密码，但是点击登陆后界面一片空白，无法正常显示web的内容。

首先检查基础的配置，发现基本的配置没有问题：

 ip http enable

 ip https enable

local-user admin class manage 

 password hash $h$6$1RxX70jy7NC/Gj0p$a8iQUpNpf3/0mvIVTCoOEyr5d726hzkqdjUJychqRaSb7GahcBwqG9qbXLWTKULMFRTaRjoGjtbyTljcZwoTcg== 

 service-type telnet http https 

 authorization-attribute user-role network-admin 

让客户尝试更换电脑、更换浏览器、清除浏览器缓存、升级AC的版本均没有效果。

随后尝试实验室搭环境复现，同型号同版本的AC使用默认配置未复现出现场的问题，但是将现场运行的配置刷进来后问题复现，可以肯定故障跟现场的配置有关。于是进一步检查现场的配置，询问客户故障前后是否有更改过配置，客户表示增加过一些认证的配置，仔细核对认证相关的配置后发现如下疑点：

radius-scheme A

domain aaa 

 authentication default radius-scheme B local 

 authorization default radius-scheme B none 

 accounting default radius-scheme B none 

domain default enable aaa

客户配置domain aaa中引用的radius-scheme B是不存在的，与客户配置的radius-scheme不一致，同时客户指定了系统默认的domain为aaa,现场将domain下的default配置修改为对应的用户登录方式后（lan-access）后web页面可以正常登录，将系统默认domain恢复为system后也可以正常登录。

实验室进一步搭建测试环境，总结规律：

测试一,将authentication和authorization策略最后配置local本地认证，可以正常登录。

radius-scheme A

domain aaa

 authentication default radius-scheme B local 

 authorization default radius-scheme B local

 accounting default radius-scheme B none 

domain default enable aaa

测试二，domain下不做任何配置，web可以登录成功

domain aaa

domain default enable aaa

测试三，domin下配置login策略，指定的scheme不存在，无法登录web，这个测试确认用户是否可以登录AC web由login用户控制

radius-scheme A

domain aaa 

authentication login radius-scheme B local 

 authorization login radius-scheme B none 

 accounting login radius-scheme B none   

domain default enable aaa

测试四：authentication和authorization策略最后都增加了local本地认证或授权的配置，即使指定的scheme不存在，最终都可以通过本地认证的方式成功登录web

radius-scheme A

domain aaa 

authentication login radius-scheme B local 

 authorization login radius-scheme B local

 accounting login radius-scheme B none   

domain default enable aaa

总结：

1.登录AC的web页面的认证由domain下的login用户策略控制，默认情况下走缺省本地local策略，domain默认采用system domain，不做任何配置即可成功登录web。

2.如果更改了系统默认domain，并且domain下更改所有用户（default）的认证和授权策略，如果domain下引用的的radius-scheme或其他的scheme（ldap-scheme、hwtacacs-scheme）不存在，会导致web登录失败，显示空白页面。需要增加local本地认证或授权的配置，可以通成功登录web。或者单独更改login用户的登录策略。

3.如果修改了domain下的default策略或login策略，需要保证指定的认证scheme配置正确,或者authentication和authorization配置为local。