故障现象:
架构环境:
交换机:H3C S5130S-28S-PWR-EI H3C Comware Software, Version 7.1.070, Release 6343P08
Radius服务器:windows server 2022
解决思路:
1. 打开交换机debug功能,复现故障,查看debug输出。
交换机显示认证成功,但授权失败。
2. 查看radius服务器认证log。
radius服务器显示认证成功。
3. 交换机上show users 查看当前认证成功用户权限。
域用户成功登陆,但user role为level-0 level-3
定位到问题:admin为本地用户,user role为network- admin 或network- operator,权限正常。
vty 1为域用户,user role为level-3,level-0,所以导致权限异常。
4. 分析
user role 为radius服务器认证后返回的属性值,从第3步的显示信息看,radius返回的属性值应该为network- admin这种格式。
5. 查看华三关于radius属性值的定义
type 为155的代码可定义user-roles,
value的值的格式为shell:roles='network-admin'
6. 在radius服务器中的NPS策略中添加供应商代码25506(h3c),type为155,value为shell:roles='network-admin'条目。
7. 测试,登陆后使用show users查看用户权限,正常分配给认证用户。
8. h3c官方radius参数指南
Support - H3C High-End Routers RADIUS Attributes-R8260Pxx-6W101- H3C