Print

S5130-30C-HI 结合hwtacacs AAA认证,拔掉服务器后本地登录失败

2019-05-26 发表

组网及说明

问题描述

现网设备通过AAA验证登陆方式登陆,关闭AAA服务器后部分华三设备(5130 8808 5660)无法通过本地用户名登陆,登陆时需要更改本地用户密码,更改完成后显示登陆失败。经对比发现显示登陆失败的设备软件版本为Version 7.1.045 部分可以登陆的设备(6604 3600)软件版本为Version 5.20,已经尝试配置新的用户登陆,登陆时需要更改密码,更改完成后使用新密码登陆显示login failed

过程分析

这个问题的原因是V7设备下面这个配置

domain ssh

authentication login hwtacacs-scheme ssh local

authorization login hwtacacs-scheme ssh local

accounting login hwtacacs-scheme ssh

 

计费没有配置备用方式local  所以当TACACS服务器关闭后, 登录中使用tacacs 计费失败,没有逃生方式,计费就失败了,计费失败会导致登录失败。

 

V5 设备上domian ssh的配置是下面这样的,虽然计费没配置逃生方式,但配置了accounting optional,此命令可以忽略掉计费结果,所有计费失败不会导致登录失败

domain ssh

authentication login hwtacacs-scheme ssh local

authorization login hwtacacs-scheme ssh local

accounting login hwtacacs-scheme ssh

access-limit disable

state active

idle-cut disable

self-service-url disable

accounting optional

 


解决方法

V7上不支持accounting optional这条配置。 所以解决方式是修改下V7 的配置,改为

domain ssh

authentication login hwtacacs-scheme ssh local

authorization login hwtacacs-scheme ssh local

accounting login hwtacacs-scheme ssh local