【802.1x案例】无线原生1x认证失败

发布时间：2024-06-18

点击量：5

无线原生1x认证失败

使用原生1X进行认证，终端上网络连接失败

（1）拓扑描述：

1、配置问题：设备类型添加错误。

2、配置问题：SAM+配置与NAS配置冲突导致。

3、软件问题：SAM+上的无线1X证书到期

4、终端问题：终端的系统时间与正常时间相差太大（超过证书时间）

5、终端问题：终端不支持PEAP-MSCHPV2 PEAP-GTC PEAP-MD5 协议方法

6、方案限制：对接了第三方LDAP，首次认证场景

1、无线设备添加无线设备

2、有线设备类型友商添加神码设备，锐捷添加设备类型为锐捷交换机，型号为N18K

3、所添加的nas设备信息中，radius key尤为重要，在出现认证失败时要首选去检查这个字段是否存在SAMS与NAS设备配置不一致的情况。（特别留意检查是否有存在空格）

1、无线设备没有做vlan跳转、但是SAM+上配置了（造成SAM+上认证成功了，但是AC上无法上线）

可以在AC上show 日志分析（show dot1x user diag mac h.h.h），发现accpet报文均是author fail，说明认证成功的报文中存在于配置冲突的内容

大概率是vlan下发，检查对应用户的详细信息与套餐使用的接入控制

如存在相关报错，但是非vlan下发导致的，请帮忙收集日志，发给二线进行分析

1、无线原生1x认证因PEAP的协议中使用了TLS的传输层加密隧道，所以认证过程会使用到CA证书，而CA证书受制于信息安全的要求，其有效期基本为1年，当证书超过有效期后将导致认证失败。

2、解决的方式：通常在证书过期的前2周，我司会提供新的ca证书用于导入系统，具体信息可以参见闪电兔或者技服的预警通告。

3、检查认证终端的系统时间，终端校验证书的时候会将系统时间和证书里的生效时间进行比较，当终端的时间非证书有效期的范围内则会认证失败。

1、上诉两种协议市场上95%以上的常用终端基本支持。

2、其中windows默认启用MSCHAP-V2，关闭GTC，IOS为默认GTC，而安卓类系统属于可手动设置。

3、如果windows系列较老的终端，比如winXP、及较早的win7系统，较为容易出现因为网卡设置的问题导致的认证失败，且SAM上无任何认证失败日志记录

建议安装GTC认证方法，将网卡的1X认证配置中的协商协议改成GTC、或者反馈二线用户使用的SSID，让二线协助生成wifi小助手（非常规）
点击链接

1、LDAP的对接方案中，在LDAP服务器上用户密码为加密存储的情况下，首次认证只能支持PEAP-GTC协议认证的终端

因为使用PEAP-MSCHAPV2协议时，SAM+不知道用户的密码，LDAP侧密码也是加密的，SAM+无法将两者的密码进行对比，也无法解析用户输入的密码对LDAP进行登录校验。

规避方案：此场景下，需要使用web认证或者用户登录自助一次来使得SAM+学习到用户的密码。

2、只有当LDAP上用户密码为明文存储时，才可以支持首次PEAP-MSCHAPV2协议的认证终端接入。

如果您通过以上步骤依然无法解决问题，请收集上述步骤排查信息，联系400协助您排查。

五、信息收集

您通过以上步骤依然无法解决问题，请收集上述步骤排查信息，联系400协助您排查或点击进入：售后闪电兔 处理

1x认证失败多见于证书问题或者终端支持的协议问题

您可能还关注的问题