iMCiNode中常见用户下线原因讲义.docVIP

iMC iNode中常见用户下线原因分析 1 概述 1-2 2 常见下线原因分析及总结 2-3 2.1 认证失败，客户端提示服务器无响应 2-3 2.2 用户不存在或者用户没有申请该服务 2-3 2.3 安全检查代理服务器没有回应，即将强行下线 2-4 2.4 和安全检查代理服务器通信发生错误，当前连接即将被强行中断 2-4 2.5 IP或MAC地址绑定检查失败 2-4 2.6域统一认证失败，服务侧查看认证失败记录显示为“LDAP用户密码错误” 2-5 2.7 余额不足 2-5 2.8 用户密码错误，您已经被加入黑名单 2-6  概述 AAA认证系统流程中，客户端下线后，在AAA认证系统会根据认证设备上传的属性值来确定具体的下线原因（具体可参考：iMC UAM常见下线原因分析）并记录认证失败日志，这样，网络管理员就可以根据用户下线的原因来定位具体问题，而对于最终来讲，能感知的就是终端的提示信息，如果使用我司iNode客户端认证，认证失败时也会根据AAA服务器下线原因显示相关的提示信息，很大程度，客户端认证失败提示和iMC侧的认证失败日志吻合，现就iNode下线原因做一总结。 常见下线原因分析及总结 认证失败，客户端提示服务器无响应 问题现象：客户端认证信息窗口提示“RADIUS Server No Response”，认证失败。 1、确认问题PC所连的接入交换机与iMC服务器之间是否通讯正常（除了路由可达之外还包括端口是否被屏蔽），最直接的定位方法是登陆服务器，从服务器侧ping接入交换机。 2、登陆服务器，打开部署监控代理，查看进程选项卡下iMC各进程是否运行正常（显示绿色表示运行正常）。 3、检查“业务－接入业务－接入设备配置”中的配置，确认设备是否已经正确添加以及共享密钥是否配置正确。 4、如果以上检查不能发现问题，则需要分析用户接入组件的调试日志。 如果在日志中看到如下记录，则表明服务器收到来自192.168.121.1的Radius报文，但该IP地址并未作为认证接入设备的IP地址添加到iMC中，请确认“业务－接入业务－接入设备配置”中的配置。 % 2008-10-14 12:51:58 ; [WARNING (2)] ; UAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; Invalid Source IP or port number(from 192.168.121.1:1812). 如果在日志中看到如下记录，则表明接入设备的共享密钥配置与设备上配置的不一致，请确认“业务－接入业务－接入设备配置”中的配置或设备配置。 % 2008-10-14 12:53:29 ; [ERROR (1)] ; UAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; CheckMsgAttr(): Invalid Message-Authenticator received from 192.168.121.1, return HWR_FAIL. 如果在日志中看到如下记录，则表明服务器上用于监听认证请求报文的端口（缺省为1812）被其他应用程序占用。若无法确定是什么程序占用了端口，请在服务器的命令行窗口中使用netstat –aon查看占用端口的进程PID，然后在Windows任务管理器中查找该PID所对应的执行程序。 % 2008-10-14 01:12:43 ; [ERROR (1)] ; UAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; Fail to bind Socket with Port for Receive Thread. 5、若以上操作仍不能定位问题，请记录问题处理的过程、发生问题的时间点和用户名并收集用户接入组件调试日志，联系H3C技术支持人员处理。 用户不存在或者用户没有申请该服务 问题现象： 客户端提示“开始进行身份验证”，之后立即报“连接中断”。在服务器侧查看认证失败记录，“认证失败原因”一栏显示为“用户不存在或者用户没有申请该服务” 处理步骤： 1、查看认证失败日志中的“帐号名”，首先在“所有接入用户”中查询该帐号名是否存在。在确认帐号名存在的前提下，查看认证失败日志中的登录名是否与该用户绑定的服务后缀一致。如果该用户是LDAP用户，正常情况下登录名应该显示为“用户名@域的NetBIOS名”，该用户应该绑定一个以域的NetBIOS名为服务后缀的服务；如果该用户是普通用户，则登录名为客户端连接属性中填写的用户名，该用户应该绑定一个无服务后缀（服务后缀为空）的服务。 2、请确认是否存在这种情况，用户登陆域时直接在登陆信息窗口中用户名一栏写成“域用户名