问题现象

用户使用inode进行portal单点登录,登陆后inode提示“安全认证失败,当前连接即将被强行终端,请与管理员联系”

告警信息

原因分析

收集iNode,UAM,Portal及策略服务器调试级别日志。

iNode调试日志中可以看到iNode在15:00:00发送了EAD1号报文,其中userName=yangnianting@SHLSSB,之后我们再看UAM调试级别日志,如下图所示:

其中UAM中的1号报文中user-name=yangnianting,并未携带域名SHLSSB,通过与现场工程师沟通,发现现场imc侧的接入服务中并没有配置服务后缀,同时在接入设备中user-format也是without domain,我们知道对于华三的接入设备,如果接入设备上配置的是without domain,那么在设备上必须指定认证所用的domain,这样在接入服务中才可以不配置服务后缀。

但是对于单点登录的认证系统来说,单点登录和普通的802.1X或者portal认证方式的唯一区别在于单点登录先进行认证,然后登陆操作系统,而802.1X或者portal认证是先登陆操作系统然后进行认证。对于采用802.1x方式的单点登录,用户可以不配置后缀或者配置后缀并且和域控保持一致,如果是其他厂家的接入设备,服务一定要带后缀。

然而对于portal认证,则用户必须配置服务后缀,并且必须和域控保持一致,即接入设备中必须配置user format with-domain,接入服务中也必须配置和域控一致的服务后缀。对于iNode认证时系统会带上域名,这里就是第一张图中所展示的yangnianting@SSHLSSB,而UAM中的username是yangnianting,那么就会导致两者名称不一致,会导致无法查询到用户的在线信息,从而EAD通知iNode下线。这一点我们可以通过禁用策略服务器来验证,在接入策略管理-业务参数配置-系统配置-策略服务器参数配置中,不勾选“启用策略服务器”一项,那么用户再次进行认证就可通过安全认证。

解决办法

1、对于portal方式的单点登录,接入服务必须配置服务后缀,且必须和域控保持一致,接入设备上配置

user format with domain

2、对于802.1x方式单点登录,接入服务可以不配置后缀或者配置后缀且和域控保持一致。

案例信息

案例类型:经验案例
案例号:201510220010
创建时间:2015年10月22日
更新时间:2015年10月23日
发布时间:2015/10/23 8:32:38
文章密级:游客可见
有效期:长期有效
发布者:罗孝晨 [l11248]
点击次数:6262
评论平均得分:0
关键词:inode portal 单点登录 安全认证失败
产品线:iMC产品线-终端认证
产品系列:iMC-EIA终端智能接入组件
产品版本:E0302P08
故障类型:

常用操作
收藏