【SMP/ESS】SMP用户认证失败问题

 1、故障现象
  用户启动客户端进行认证时，出现认证无法成功或认证成功后无法访问网络的问题：
    现象1）客户端提示“正在寻找认证服务器”，随后提示无法找到认证服务器，认证失败；
    现象2）客户端提示“正在连接认证服务器”，随后提示连接认证服务器失败，认证失败；
    现象3）客户端提示认证客户端类型错误，如“使用的客户端是非锐捷安全代理”、“使用的是非锐捷客户端”等等；                      
    现象4）客户端提示“用户名或密码错误”
    现象5）客户端提示，认证使用的“IP、MAC、设备端口、设备MAC、硬盘序列号等校验失败”
    现象6）客户端提示“您已被禁止使用网络!”
  2、  故障可能原因
    1）客户端和认证设备、认证设备和SMP服务器之间的通信异常；
    2）认证设备802.1x配置错误；
    3）认证设备没有被添加到SMP管理设备中，或设备类型添加错误；
    4）用户开户时选择的认证客户端类型错误；（SMP2.6以下版本存在此问题，2.6版本开始无需选择客户端类型）
    5）用户认证时输入的用户名或密码错误；
    6）用户启用了接入方式控制，因网络信息校验失败导致无法认证；
    7）用户被加入黑名单中导致无法认证；                                                                 

3、故障处理流程
 

4、故障处理步骤

步骤1 查看SMP的认证失败日志
当客户端提示认证失败时，首先查看SMP中的认证失败原因，如下图所示：

1. 打开SMP的管理界面，依次点击“身份认证管理”-认证失败日志，查看失败原因；

2. 失败原因有几种情况：
1） 查看SMP的认证失败日志无任何日志记录，客户端提示“正在寻找认证服务器”，随后提示无法找到认证服务器，认证失败的提示；出现此现象时请直接进入步骤二；
2） 失败原因是“认证设备无法找到”，这说明认证使用的接入设备没有添加到SMP的管理设备中，请直接进入步骤二；
3） 失败原因是“用户不存在“或“密码错误”，首先检查认证使用的用户名是否被正确的添加到SMP中，再修改密码后重新尝试认证，方法如下：

i. 是打开SMP的管理界面，依次打开“身份认证管理”-“管理用户”-先确认用户是否存在，再找到提示密码错误的用户点击修改：

ii. 在“用户密码”和“密码确认”中输入新的密码后，点击修改完成密码修改后再次尝试认证：
 

4） 失败原因是“必须使用锐捷安全代理认证”或“必须使用非锐捷安全代理认证”，请直接进入步骤3；
5） 失败原因是“用户IP、用户MAC、设备IP、设备端口或硬盘序列号校验失败”，请直接进入步骤4；
6） 失败原因是“用户已被加入黑名单”，请直接进入步骤5；

步骤2 查看SMP和交换机的配置

当用户认证失败时，依次检查SMP和接入交换机的配置是否正确：
1.  要实现用户认证，必要的配置步骤依次是：

1） 在接入设备中配置802.1x认证的功能，以锐捷10.x交换机配置为例，802.1x的必要配置如下：
aaa new-model                                                                           //开启aaa认证
aaa group server radius compatible                                            //配置名称为“compatible”的AAA服务器组

aaa accounting update                                                           //开启记账更新功能
aaa accounting update periodic 15                                            //定义记账更新周期
aaa accounting network default start-stop group radius            //配置记账功能
aaa authentication dot1x default group radius                           //配置dot1x认证方法

radius-server host 172.16.8.125                                                //定义认证服务器IP
radius-server key test                                                                //定义认证radius key（需和SMP设备模板中配置一致）

interface FastEthernet 0/1
 dot1x port-control auto                                                           //在接口上开启dot1x认证功能
snmp-server community public rw                                            //设置snmp团体访问字符（需和SMP设备配置模板中配置一致）

2） 打开SMP的管理界面依次添加用户组和用户；

i.  打开“身份认证管理”点击“管理用户组”中的添加；

 ii.  输入用户组名称后点击添加：

iii.  依次点击“身份认证管理”-“管理用户”-“添加”，输入用户名和密码并选择用户组后点添加：
 

3） 在“管理设备”中配置“设备配置模板”并添加认证设备；

i.  打开SMP管理界面，在“身份认证管理”“管理设备”中点击“设备配置模板”进入设备模板配置界面，并点击添加配置一个新的设备模板：

ii.输入“设备配置模板名称”，选择设备类型（SMP支持多种设备类型，添加时务必确认当前使用的设备类型并正确选择），输入“身份认证key”，填写“SNMP v2c community”配置，注：“身份认证key”和“SNMP v2c community”配置需和交换机配置的参数一致；

iii. 回到“身份认证管理”“管理设备”点击“添加”进入设备添加界面：
 

iv. 添入正确的设备IP，选择刚添加的“设备配置模板”后点击“立即获取设备信息”（设备需配置SNMP并和SMP设备模板中的配置一致），点击添加完成设备添加：
 

4）安装客户端并输入正确的用户名和密码发起认证；

2.  SMP的802.1x认证流程如图所示，共分为两个部分：

1） 第一部分是客户端和接入交换机之间交互EAP报文，正确的EAP报文交互过程如下：（本例使用抓包工具为wireshark）

如认证失败时客户端显示“正在寻找认证服务器”而后提示认证失败，则说明接入设备没有响应客户端发起的EAP请求，请按如下步骤排查：

i.   检查本地网络连接是否正常，确定网络处于联通状态；
ii.  关闭交换机接口的dot1x认证或将认证pc接到非认证接口上，通过ping或者telnet 的方式，确保认证pc和接入交换机间的网络通信正常；
iii. 启动抓包工具，对照上图查看交换机是否响应客户端发出的EAP请求；
iv. 对照上文的交换机配置，逐条检查交换机配置，确保交换机配置正确；

2）第二部分是接入交换机和SMP之间交互radius报文，正确的radius报文交互过程如下：（本例使用抓包工具为wireshark）

如认证失败时客户端提示“正在连接认证服务器”，随后提示认证失败，则说明接入设备和SMP直接的交互存在问题，请按如下步骤排查：

i.   确保接入交换机和SMP直接的网络通信正常，可以登录到交换机上看是否能够ping通SMP服务器。
ii.  在SMP上启动抓包工具，参考上图看SMP服务器是否收到并回应接入交换机发送的radius请求，如SMP服务器接到radius access-request请求但没有回应，请检查SMP本地环境，关闭防火墙和杀毒软件后再次认证。
iii. 检查SMP服务器日志是否有认证失败的提示，查看SMP上是否正确的添加认证交换机，设备模板中的radius key参数配置是否和交换机一致。（参考本章节的配置步骤排查）

3. 如以上步骤检查完毕仍然无法认证成功，则进入步骤6。

步骤3 检查SMP上开户时添加的客户端类型

目前SMP支持的客户端类型有两类，一类是锐捷客户端包括RG-SA（锐捷安全代理）和RG-SU（锐捷安全客户端），另一类是操作系统自带的1x认证客户端和其他支持标准802.1x协议的认证客户端。

1. 如认证时提示客户端类型错误，在SMP日志中查看失败原因是“必须使用锐捷安全代理认证”，则说明当前用户使用的客户端类型不正确，处理方法如下：（针对SMP2.6以前的版本，SMP2.6版本能自动识别客户端类型）

i.  进入SMP管理界面，依次打开“身份认证管理”-“管理用户”，找到认证失败的用户点击“修改”，进入用户管理界面，查看认证客户端类型选择是否和当前用户安装的匹配，如不一致则进行修改。

2.  对于非锐捷认证客户端，因为不支持SMP的私有属性，所以无法上传接入如“IP类型、硬盘序列号等属性”，如果使用非锐捷认证客户端又开启了网络信息校验功能， 则会导致认证失败，处理方法如下：

i.  进入SMP管理界面，依次打开“身份认证管理”-“管理用户组”，找到认证失败用户所在的用户组点击修改，在接入方式控制标签取消掉“网络信息校验”中的相关校验内容；

步骤4 检查SMP接入方式控制中的配置
如果在SMP的接入方式控制中进行了配置绑定，当用户认证时的网络校验信息和系统绑定的不一致时，则会出现认证失败的情况。

1. 客户端提示如：“用户IP校验失败”或“硬盘序列号校验失败”等信息，查看SMP认证失败日志的失败原因为“用户IP、用户MAC、设备IP、设备端口或硬盘序列号校验失败”,说明用户当前认证的网络信息发生了变更，和系统中绑定的不一致；处理方法为：

1）首先登录到SMP管理界面，依次打开“身份认证管理”-“管理用户组”，找到认证失败用户所在的用户组点击修改，在接入方式控制标签查看认证失败用户所在用户组是否开启了网络信息校验功能：

2）在SMP管理界面，依次打开“身份认证管理”-“上网历史记录”搜索认证失败用户的上网历史记录点击查看，如图所示：
 

3）将查看到的绑定信息告知用户，并要求用户使用绑定的信息登录，如：用户网络信息绑定的用户IP为1.1.1.1，而用户修改IP为1.1.1.2，则在认证时会提示用户IP校验失败。此时需要用户将发生变更的网络信息修改为绑定的信息即可。

4）如果用户需要修改当前绑定的网络信息，在SMP管理界面，依次打开“身份认证管理”-“管理用户”找到需要修改绑定信息的用户，手动删除当前的绑定信息；
 

步骤5  检查SMP的黑名单配置
如果在认证时客户端提示“您已被禁止使用网络”，请确认用户是否被加入到黑名单中。

1.  用户被加入黑名单有几种情况：
1）  管理员手动将违规用户加入黑名单中；
2）  违反计算机保护策略被加入黑名单中；
3）  发动网络攻击被NIDS检测到后，被加入黑名单中；

2.  当怀疑用户被加入黑名单导致认证失败时，按如下步骤处理：

1） 在SMP管理界面依次进入“身份认证管理”-“黑名单中”，查看用户是否在黑名单中，如需解除用户的黑名单状态，只需在黑名单选中并删除用户记录即可，如图所示：；

2）确认后，如果不是管理员手动将用户加入黑名单，可以在SMP的“日至分析”-“计算机保护日志”或“攻击事件处理日志中”查找用户被加入黑名单的原因：

步骤6  收集信息后，请联系4008111000协助处理
拨打4008111000协助处理前，请确认以下内容：
1、已严格按照软件操作手册、测试手册进行配置；（确保没有配置错误）
2、客户端和接入设备之间，接入设备和SMP服务器之间的网络通信正常；
并收集如下信息：
1 ) 详细的故障描述和排错过程中的截图和报文；
       2 ) 远程访问方式及其账号信息。（如具备远程条件）
3、通过debugtool工具导出的调试信息文件:
1). 请在浏览器输入：http://1.1.1.1:8080/smp/debugtool.jsp（将1.1.1.1替换为SMP真实IP），并勾选“开启认证服务调试“、“开启记账服务调试”、“开启用户上下线调试”三个开关后，点击最下方的“修改”按钮，开启debug调试开关。
 

2). 重新登录客户端进行至少三次的认证操作，然后再次登录debugtool界面，点击下方的“导出调试信息”按钮。 
 

4). 按照第1)步的方法取消“开启计算机保护状态调试”前的选中状态，关闭debugtool调试工具。