当采用如下的若干典型配置并且未创建本地用户账户时,将存在该问题。使用以下类似配置升级到ESS 2305或以上的版本,用户无法认证通过。
1、典型配置一 未显示Login用户的AAA计费方法
domain h3c
authentication login radius xxx
authorization login radius xxx
注意:未指定使用的计费方法时,将默认采用本地计费方法。
2、典型配置二 指定Login用户使用的AAA计费方法为本地计费
domain h3c
authentication login radius xxx
authorization login radius xxx
accounting login local
3、典型配置三 指定Login用户使用的AAA计费方法为RADIUS远程计费无效转本地计费
domain h3c
authentication login radius xxx
authorization login radius xxx
accounting login radius xxx local
【原因分析】
ESS 2305及以上版本,本地AAA服务器对本地计费的规格进行了变更,只有用户登录使用的用户名和用户类型与设备上配置的本地用户名和service-type一致,本地计费才能成功;否则本地计费失败。ESS 2305之前的版本上并没有实现完善的本地计费功能,无论设备上是否创建了对应的本地用户,本地计费功能均返回成功。
当从ESS 2305之前版本升级到ESS 2305或以上版本时,如果使用了本地计费方法并且没有配置对应的用户账户时,将导致计费失败,用户无法登录设备。
【规避措施/解决方案】成都H3C
进行ESS 2305之前的版本到ESS 2305或之后的版本升级之前,请先检查相关配置,将计费相关配置修改如下后,保存配置,再进行版本升级。
1、如果Login用户希望不进行计费,直接将计费方法指定为none
domain h3c
authentication login radius xxx
authorization login radius xxx
accounting login none
2、如果Login用户希望使用RADIUS服务器进行计费,请在服务器上完成相应的用户及计费策略等配置,并指定RADIUS服务器计费无效时转为不计费
domain h3c
authentication login radius xxx
authorization login radius xxx
accounting login radius xxx none
文中以Radius举例,TACACS作为AAA认证的一种,也有类似问题,通过以上的方案也可以进行规避。