交换机802.1X本地认证方式认证失败,王海军老师告诉你
1,问题描述
S5700配置802.1X本地认证,终端使用windows7系统自带的802.1X身份验证,认证失败。
关键配置如下:
#domain default_admin#dot1x enabledot1x authentication-method eapdot1x dhcp-trigger#aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin authentication-scheme default local-user huawei password cipher %@%@Wy8E#3khsDf/5qJI& local-user huawei service-type 8021x#interface GigabitEthernet0/0/1 port link-type access dot1x enable#
2,处理过程
1、“default”域是用于普通接入用户(如NAC)的域;“default_admin”域是用于管理员(如HTTPS、SSH、Telnet、Termianl和FTP)的域。因此要把全局认证配置在default域或者其他普通认证域中:
[HUAWEI] aaa[HUAWEI-aaa] domain default[HUAWEI-aaa-domain-default] authentication-scheme default
2、在802.1x认证中,用户通过EAP报文与设备交互认证信息,而设备对EAP报文采用两种方式与RADIUS服务器交互认证信息:
·EAP终结:设备直接解析EAP报文,把报文中的用户认证信息封装到RADIUS报文中发送给RADIUS服务器进行认证。设备与RADIUS服务器之间的EAP终结认证方式可分为PAP与CHAP两种。EAP终结认证时,设备在本地直接解析EAP报文的用户名和密码,用户信息可以在本地AAA模块进行认证。
·EAP中继(对应参数中的eap方式):设备不对接收到的包含用户认证信息的EAP报文作任何处理,直接封装到RADIUS报文中发送给RADIUS服务器完成认证。只有采用RADIUS认证时,802.1x用户的认证方式才可以配置为EAP中继方式。
因为是本地AAA的认证方式,需要把802.1x用户的认证方式设置为EAP终结(chap或者pap):
[HUAWEI] dot1x authentication-method chap
3、windows7目前的身份验证方式中没有EAP终结的方式,不能实现本地认证。需要使用支持MD5质询(EAP终结)的认证方式的第三方客户端软件才能实现。
3,根因
1、802.1X认证用户不能在默认管理员域中认证。
2、802.1X本地认证时,802.1X用户的认证方式必须配置为EAP终结方式。
3、对于Windows7,需要使用支持MD5质询(EAP终结)的认证方式的第三方客户端软件才能实现本地认证。
4,解决方案
1、配置802.1X认证用户认证域为default域或者其他普通认证域。
2、配置802.1X用户的认证方式为EAP终结方式。
3、对于Windows7,更换为支持MD5质询(EAP终结)的认证方式的第三方客户端软件实现认证。
5,建议与总结
接入终端个数较多时,802.1X本地认证会消耗系统资源影响性能,建议使用RADIUS等服务器认证的方式。
查看原文 >>