El atributo de radio no coincide

58 0 0 0



Problem: Desde los resultados del dump tcp, el servidor Radius está enviando el mensaje Acces Accept al conmutador, después de que el Access Request fue enviado por el switch, pero la autenticación falla.

 

La pregunta es sobre qué lado está el problema.

 

Salida del dump tcp:

 

>  radius> radius: [udp sum ok] RADIUS, length: 142
>                 Access Request (1), id: 0x10, Authenticator: d21ac16345bbca51f2a5c2394b426742
>                   Username Attribute (1), length: 10, Value: test
>                     0x0000:  6261 6d67 6261 6c31
>                   Password Attribute (2), length: 18, Value: 
>                     0x0000:  0000 0000 0000 0000 0000 0000 0000 0000
>                   Service Type Attribute (6), length: 6, Value: Administrative
>                     0x0000:  0000 0006

>                   Framed Protocol Attribute (7), length: 6, Value: X.75 Synchronous
>                     0x0000:  0000 0006
>                   Framed IP Address Attribute (8), length: 6, Value: abc.net
>                     0x0000:  c099 ae1f
>                   NAS ID Attribute (32), length: 6, Value: cbf0
>                     0x0000:  6362 6630
>                   NAS IP Address Attribute (4), length: 6, Value: abc.net
>                     0x0000:  c1ab 10e9
>                   Vendor Specific Attribute (26), length: 46, Value: Vendor: Unknown (2011)
>                     Vendor Attribute: 59, Length: 4, Value: V&I.
>                     Vendor Attribute: 254, Length: 27, Value: Huawei VRP Software Version
>                     Vendor Attribute: 255, Length: 3, Value: VRP
>                     0x0000:  0000 07db 3b06 5626 499b fe1d 4875 6177
>                     0x0010:  6569 2056 5250 2053 6f66 7477 6172 6520
>                     0x0020:  5665 7273 696f 6eff 0556 5250
>                   Message Authentication Attribute (80), length: 18, Value: ....w...h..(.w..
>                     0x0000:  0fef 90d7 77e9 930e 6806 c828 1d77 e1aa
> 14:03:07.875305 IP (tos 0x0, ttl 64, id 41846, offset 0, flags [DF], proto UDP (17), length 122)
>   radius > radius: [bad udp cksum 0xa7f0 -> 0xe34a!] RADIUS, length: 94
>                 Access Accept (2), id: 0x10, Authenticator: 8f7dd7069a367fb59e894b194f72201b
>                   Service Type Attribute (6), length: 6, Value: NAS Prompt
>                     0x0000:  0000 0007

>                   Vendor Specific Attribute (26), length: 25, Value: Vendor: Cisco (9)
>                     Vendor Attribute: 1, Length: 17, Value: shell:priv-lvl=15
>                     0x0000:  0000 0009 0113 7368 656c 6c3a 7072 6976
>                     0x0010:  2d6c 766c 3d31 35
>                   Service Type Attribute (6), length: 6, Value: NAS Prompt
>                     0x0000:  0000 0007
>                   Vendor Specific Attribute (26), length: 25, Value: Vendor: Cisco (9)
>                     Vendor Attribute: 1, Length: 17, Value: shell:priv-lvl=15
>                     0x0000:  0000 0009 0113 7368 656c 6c3a 7072 6976
>                     0x0010:  2d6c 766c 3d31 35
>                   Vendor Specific Attribute (26), length: 12, Value: Vendor: Foundry (1991)
>                     Vendor Attribute: 1, Length: 4, Value: ....
>                     0x0000:  0000 07c7 0106 0000 0000

 

From "display aaa online-fail-record":

 User name                      : test
> Domain name                    : default_admin
> User access type               : SSH
> User IP address                : 192.168.3.2
> User ID                        : 58
> User authen state              : Failed
> User author state              : AuthorIdle
> User login time                : 2015-10-20 16:47
> Online fail reason             : Internal error

 

Analizando la salida tcp del dump podemos ver que el switch envió paquetes de solicitud con un atributo de servicio (resaltado en rojo), pero el servidor RADIUS reproduce un paquete con dos atributos de servicio marcados en color rojo como se muestra.El switch no puede reconocer los paquetes de replay.

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba