交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
问题描述:
通过windows系统自带的1X客户端进行Windwos AD域“二次认证”会出现认证失败。
第一次是PC主机的自动认证,在主机开机的时候就会以主机名作为账户和radius服务器交互,完成认证。
第二次是用户个人域账号的认证,在主机名认证结束之后,通过输入的域账户用户名和密码进行用户个人账号认证。
Windows AD域认证的过程及原理参考附件技术文档。
Windows AD域认证和常规的SAM认证存在较大差异,10.4(3)p1版本首次支持此项新功能特性。
问题影响:
用户认证不通过,1x Windows 客户端认证失败(通常3次失败)后,不会继续发认证请求,必须启用禁用网卡后才会重新认证,由于长时间不认证,导致用户认证失败。
确认方法:
1. PC主机名(ALIBABA-ITwanglz.hz.ali.com)自动登陆成功后,交换机上show dot1x summary 会存在此mac的认证成功表项。
153 HZ\wb_z... 0023.ae8f.f4cd Fa1/0/18 10 Authenticated Idle Authed static 0days 0h 0m 0s
2. 在PC输入使用域账号和密码登录,这个时候PC不会发出下线报文,而是以另外一个域账号(HZ\wb_zhicai.qian)作为用户名进行认证请求
User name: host/ALIBABA-ITwanglz.hz.ali.com,这个时候交换机上由于存在已经认证的此用户mac,会打印如下log:
*May 11 13:18:11: %DOT1X-6-WAIT: ALIBABA-ITwanglz.hz.ali.com online,HZ\wb_zhicai.qian is waiting.并不会发出Radius报文。
捉包分析PC发出的Response identiy后,交换机没有响应,提示waiting的动作在执行。
交换机show dot1x summary 表项:
168 host/wb_z... 0023.ae8f.f4cd Fa1/0/18 10 Authenticating Request Un-authed static User is offline
那么这个用户名认证会导致失败。
解决方法:
升级至RGOS 10.4(3)p1,Release(137164)版本解决,在原有1x配置命令上新增:全局配置模式 dot1x multiaccount enable(允许一个mac上有多个账号进行认证);windows AD域认证属于新功能特性,目前仅有10.4(3)p1版本包含26E/3760E/3250E/5750支持。