Incompatibilité d'attribut du serveur Radius

38 0 2 0

Problème: À partir des résultats de tcpdump, le serveur Radius envoie le message d'acceptation d'accès au commutateur, après l'envoi de la demande d'accès par le commutateur, mais l'authentification a échoué.

La question est de quel côté est le problème.

Sortie Tcpdump:

>  radius> radius: [udp sum ok] RADIUS, length: 142
>                 Access Request (1), id: 0x10, Authenticator: d21ac16345bbca51f2a5c2394b426742
>                   Username Attribute (1), length: 10, Value: test
>                     0x0000:  6261 6d67 6261 6c31
>                   Password Attribute (2), length: 18, Value: 
>                     0x0000:  0000 0000 0000 0000 0000 0000 0000 0000
>                   Service Type Attribute (6), length: 6, Value: Administrative
>                     0x0000:  0000 0006

>                   Framed Protocol Attribute (7), length: 6, Value: X.75 Synchronous
>                     0x0000:  0000 0006
>                   Framed IP Address Attribute (8), length: 6, Value: abc.net
>                     0x0000:  c099 ae1f
>                   NAS ID Attribute (32), length: 6, Value: cbf0
>                     0x0000:  6362 6630
>                   NAS IP Address Attribute (4), length: 6, Value: abc.net
>                     0x0000:  c1ab 10e9
>                   Vendor Specific Attribute (26), length: 46, Value: Vendor: Unknown (2011)
>                     Vendor Attribute: 59, Length: 4, Value: V&I.
>                     Vendor Attribute: 254, Length: 27, Value: Huawei VRP Software Version
>                     Vendor Attribute: 255, Length: 3, Value: VRP
>                     0x0000:  0000 07db 3b06 5626 499b fe1d 4875 6177
>                     0x0010:  6569 2056 5250 2053 6f66 7477 6172 6520
>                     0x0020:  5665 7273 696f 6eff 0556 5250
>                   Message Authentication Attribute (80), length: 18, Value: ....w...h..(.w..
>                     0x0000:  0fef 90d7 77e9 930e 6806 c828 1d77 e1aa
> 14:03:07.875305 IP (tos 0x0, ttl 64, id 41846, offset 0, flags [DF], proto UDP (17), length 122)
>   radius > radius: [bad udp cksum 0xa7f0 -> 0xe34a!] RADIUS, length: 94
>                 Access Accept (2), id: 0x10, Authenticator: 8f7dd7069a367fb59e894b194f72201b
>                   Service Type Attribute (6), length: 6, Value: NAS Prompt
>                     0x0000:  0000 0007

>                   Vendor Specific Attribute (26), length: 25, Value: Vendor: Cisco (9)
>                     Vendor Attribute: 1, Length: 17, Value: shell:priv-lvl=15
>                     0x0000:  0000 0009 0113 7368 656c 6c3a 7072 6976
>                     0x0010:  2d6c 766c 3d31 35
>                   Service Type Attribute (6), length: 6, Value: NAS Prompt
>                     0x0000:  0000 0007
>                   Vendor Specific Attribute (26), length: 25, Value: Vendor: Cisco (9)
>                     Vendor Attribute: 1, Length: 17, Value: shell:priv-lvl=15
>                     0x0000:  0000 0009 0113 7368 656c 6c3a 7072 6976
>                     0x0010:  2d6c 766c 3d31 35
>                   Vendor Specific Attribute (26), length: 12, Value: Vendor: Foundry (1991)
>                     Vendor Attribute: 1, Length: 4, Value: ....
>                     0x0000:  0000 07c7 0106 0000 0000


Depuis "display aaa online-fail-record":

 User name                      : test
> Domain name                    : default_admin
> User access type               : SSH
> User IP address                : 192.168.3.2
> User ID                        : 58
> User authen state              : Failed
> User author state              : AuthorIdle
> User login time                : 2015-10-20 23:47
> Online fail reason             : Internal error

***En affichant la sortie tcpdump, nous pouvons voir que le commutateur a envoyé une requête de paquets avec un attribut de service (surlignés en rouge), mais le serveur Radius rejoue un paquet avec deux attributs de service marqués en rouge, comme indiqué ci-dessous.

Le commutateur ne peut pas reconnaître les paquets de réexécution, l'authentification est donc échouée. Une fois que l'attribut Type de service a été supprimé de la réponse Access Accepter, l'authentification fonctionne.


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier