AC型号为WX2560X,版本E5612P03,电脑有线直连AC,PC与电脑可以互相ping通
现场PC之前可以访问AC的web,但是现场反馈某天开始PC无法访问AC的web界面,登录AC的web界面可以正常输入用户名密码,但是点击登陆后界面一片空白,无法正常显示web的内容。
首先检查基础的配置,发现基本的配置没有问题:
ip http enable
ip https enable
local-user admin class manage
password hash $h$6$1RxX70jy7NC/Gj0p$a8iQUpNpf3/0mvIVTCoOEyr5d726hzkqdjUJychqRaSb7GahcBwqG9qbXLWTKULMFRTaRjoGjtbyTljcZwoTcg==
service-type telnet http https
authorization-attribute user-role network-admin
让客户尝试更换电脑、更换浏览器、清除浏览器缓存、升级AC的版本均没有效果。
随后尝试实验室搭环境复现,同型号同版本的AC使用默认配置未复现出现场的问题,但是将现场运行的配置刷进来后问题复现,可以肯定故障跟现场的配置有关。于是进一步检查现场的配置,询问客户故障前后是否有更改过配置,客户表示增加过一些认证的配置,仔细核对认证相关的配置后发现如下疑点:
radius-scheme A
domain aaa
authentication default radius-scheme B local
authorization default radius-scheme B none
accounting default radius-scheme B none
domain default enable aaa
客户配置domain aaa中引用的radius-scheme B是不存在的,与客户配置的radius-scheme不一致,同时客户指定了系统默认的domain为aaa,现场将domain下的default配置修改为对应的用户登录方式后(lan-access)后web页面可以正常登录,将系统默认domain恢复为system后也可以正常登录。
实验室进一步搭建测试环境,总结规律:
测试一,将authentication和authorization策略最后配置local本地认证,可以正常登录。
radius-scheme A
domain aaa
authentication default radius-scheme B local
authorization default radius-scheme B local
accounting default radius-scheme B none
domain default enable aaa
测试二,domain下不做任何配置,web可以登录成功
domain aaa
domain default enable aaa
测试三,domin下配置login策略,指定的scheme不存在,无法登录web,这个测试确认用户是否可以登录AC web由login用户控制
radius-scheme A
domain aaa
authentication login radius-scheme B local
authorization login radius-scheme B none
accounting login radius-scheme B none
domain default enable aaa
测试四:authentication和authorization策略最后都增加了local本地认证或授权的配置,即使指定的scheme不存在,最终都可以通过本地认证的方式成功登录web
radius-scheme A
domain aaa
authentication login radius-scheme B local
authorization login radius-scheme B local
accounting login radius-scheme B none
domain default enable aaa
总结:
1.登录AC的web页面的认证由domain下的login用户策略控制,默认情况下走缺省本地local策略,domain默认采用system domain,不做任何配置即可成功登录web。
2.如果更改了系统默认domain,并且domain下更改所有用户(default)的认证和授权策略,如果domain下引用的的radius-scheme或其他的scheme(ldap-scheme、hwtacacs-scheme)不存在,会导致web登录失败,显示空白页面。需要增加local本地认证或授权的配置,可以通成功登录web。或者单独更改login用户的登录策略。
3.如果修改了domain下的default策略或login策略,需要保证指定的认证scheme配置正确,或者authentication和authorization配置为local。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作