iMCiNode中常见用户下线原因分析资料

1、iMC iNode 中常见用户下线原因分析1 概述 1-22 常见下线原因分析及总结 2-22.1 认证失败，客户端提示服务器无响应 错 误！未定义书签。2.2 用户不存在或者用户没有申请该服务 错 误！未定义书签。2.3 安全检查代理服务器没有回应，即将强行下线 错 误！未定义书签。2.4 和安全检查代理服务器通信发生错误，当前连接即将被强行中断 错 误！未定义书签。2.5 IP 或 MAC 地址绑定检查失败 错 误！未定义书签。2.6 域统一认证失败，服务侧查看认证失败记录显示为“ LDAP 用户密码错误” 错 误！未定义书签。2.7 余额不足 错 误！未定义书签。2.8 用户密码错误，您

2、已经被加入黑名单 错 误！未定义书签。1概述AAA认证系统流程中，客户端下线后，在 AAA认证系统会根据认证设备上传的属性值来确定具体的 下线原因(具体可参考：iMC UAM 常见下线原因分析)并记录认证失败日志，这样，网络管理员就可以 根据用户下线的原因来定位具体问题，而对于最终来讲，能感知的就是终端的提示信息，如果使用我司 iNode客户端认证，认证失败时也会根据 AAA服务器下线原因显示相关的提示信息，很大程度，客户端认证失败提示和iMC侧的认证失败日志吻合，现就iNode下线原因做一总结。2常见下线原因分析及总结2.1认证失败，客户端提示服务器无响应问题现象：客户端认证信息窗口提示“

3、RADIUS Server No Respons” 认证失败。1、确认问题PC所连的接入交换机与iMC服务器之间是否通讯正常(除了路由可达之 外还包括端口是否被屏蔽)，最直接的定位方法是登陆服务器，从服务器侧 ping接入交 换机。2、 登陆服务器，打开部署监控代理，查看进程选项卡下iMC各进程是否运行正常(显 示绿色表示运行正常)。3、检查“业务-接入业务-接入设备配置”中的配置，确认设备是否已经正确添加以 及共享密钥是否配置正确。4、如果以上检查不能发现问题，则需要分析用户接入组件的调试日志。如果在日志中看到如下记录，则表明服务器收到来自的 Radius报文，但该 IP地址并未作为认证接入

4、设备的IP地址添加到iMC中，请确认“业务-接入业务-接入设 备配置”中的配置。% 2008-10-14 12:51:58 ; WARNING (2) ; UAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL);Invalid Source IP or port number(from 如果在日志中看到如下记录，则表明接入设备的共享密钥配置与设备上配置的不一致， 请确认“业务接入业务接入设备配置”中的配置或设备配置。% 2008-10-14 12:53:29 ; ERROR (1) ; UAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; Ch

5、eckMsgAttr(): Invalid Message-Authenticator received from return HWR_FAIL.如果在日志中看到如下记录，则表明服务器上用于监听认证请求报文的端口(缺省为 1812)被其他应用程序占用。若无法确定是什么程序占用了端口，请在服务器的命令行窗口 中使用netstat -on查看占用端口的进程 PID，然后在Windows任务管理器中查找该PID所对 应的执行程序。% 2008-10-14 01:12:43 ; ERROR (1) ; UAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; Fail to

6、bind Socket with Port for Receive Thread.5、若以上操作仍不能定位问题，请记录问题处理的过程、发生问题的时间点和用户名并 收集用户接入组件调试日志，联系 H3C 技术支持人员处理。2.2 用户不存在或者用户没有申请该服务问题现象：客户端提示“开始进行身份验证” ，之后立即报“连接中断” 。在服务器侧查看认证失败 记录，“认证失败原因”一栏显示为“用户不存在或者用户没有申请该服务”处理步骤：1、查看认证失败日志中的“帐号名” ，首先在“所有接入用户”中查询该帐号名是否存 在。在确认帐号名存在的前提下，查看认证失败日志中的登录名是否与该用户绑定的服务后 缀一

7、致。如果该用户是 LDAP 用户，正常情况下登录名应该显示为“用户名 域的 NetBIOS 名”，该用户应该绑定一个以域的 NetBIOS 名为服务后缀的服务；如果该用户是普通用户， 则登录名为客户端连接属性中填写的用户名，该用户应该绑定一个无服务后缀(服务后缀为 空)的服务。2、请确认是否存在这种情况，用户登陆域时直接在登陆信息窗口中用户名一栏写成“域用户名域名”，而此时“登陆到” 一栏将灰选。“登陆到”如果灰选的状态停留在“登陆到域”，则域统一认证会失败，认证失败记录显示为“用户不存在或者用户没有申请该服务” 因为iMC中的账户名不允许包含符号。3、如果经过以上操作确认无法定位问题，请记录

8、问题处理的过程、发生问题的时间点和 用户名并收集用户接入组件调试日志，联系 H3C技术支持人员处理。2.3安全检查代理服务器没有回应，即将强行下线问题现象:用户成功通过身份认证，但过数秒钟后客户端提示“安全检查代理服务器没有回应，”， 用户被强制下线。处理步骤:导致该问题的直接原因是用户通过身份认证后，pc无法与策略服务器正常通讯。1、终端通过DHCP获取地址的情况下，若客户端出现错误提示时 PC仍处于正在获取地址的状态，或已经显示获取地址失败，请先确认该PC的接入环境是否启用了 Guest VLAN，如果未启用Guest VLAN，请确保客户端连接属性中的“连接断开后自动更新IP地址”没有被

9、选中。如果启用了 Guest VLAN，请确保客户端连接属性中的“连接断开后自动更新IP地址”已经被选中。此外，在Guest VLAN环境中，若下线后还未切换到 Guest VLAN就立即发起认证，则也有可能导致该问题。所以建议在Guest VLAN环境中，下线后等待至少10秒钟以上再发起认证。* :能客户瑤删除茶方电子认证信息欢迤使用】ihd电智能客户端连接连接因 伏态辿)断开更改用尸名边 刨連快捷方式醴) 删除重命名血文件(E)操作电)信息视S(V) Language(L)帮助但) i辛新建;奋I创連-个新的歪?杲新壬全程查芸 7启动此建接j更改此连接的卞 更改用户名和电 餡删除此连接X*

10、域统一认SE涨户展性用F 當规苴它.认证方法报丈类型 聞后自动认lift©；单播报立凶O蛊播报文何使用厂播下线（0上传客尸端版本号（町超时重1S（90sXR）上传IP地址Q网绷嗨自动重馳|翳3严自旋彎确定取消2、 如果iNode客户端参数确认没有问题，但仍获取不到地址。则需要分析DHCP获取地 址（可在取消认证的环境下尝试重新获取地址并在终端抓包）异常的原因。3、 如果终端能够及时获取地址或者配置的是静态IP地址，请确认该地址是否能够与iMC服务器通讯。常用的做法是在终端打开命令行窗口，长ping服务器的地址。观察当iNode客户端提示认证通过的那一刻，终端是否能够立即ping通服务

11、器。如果身份认证通过后不能ping 通服务器，则需要排查网络原因。此外，可以将认证取消后从终端ping服务器，如果认证取消后即可以ping通服务器说明地址本身以及网络没有问题，则需要重点排查交换机侧的问题。 如果认证取消后仍不能ping通服务器，则进一步证明地址配置（获取）有误或网络本身存在 问题。4、如果iNode客户端提示认证通过的那一刻， 终端能够立即ping通服务器。则需要分别 从服务器侧和客户端侧排查问题。 首先确保服务器侧的部署监控代理中显示iMC各进程运行正常（参见第二章2.1节）。在此基础上排除通讯端口被屏蔽的可能，需要确保客户端的1024以上随机端口与服务器侧 9019端口的

12、UDP通讯正常。某些情况下，客户端侧或者服务器侧 安装的第三方桌面安全类的软件有可能将通讯屏蔽。排查问题时建议临时将安全软件关闭。5、如果以上操作仍不能定位问题，请在复现问题时同时收集客户端调试日志以及策略服 务器调试日志，并联系H3C技术支持人员处理。2.4 和安全检查代理服务器通信发生错误，当前连接即将被强行中断问题现象：用户成功通过身份认证，但过数秒钟后客户端上提示“和安全检查代理服务器通信发生 错误 , ” ，用户被强制下线。处理步骤：1、iMC 与思科交换机配合，当思科交换机上配置了主备iMC 服务器的地址时，则有可能在该用户出现问题的这次认证过程中， 交换机发生了主备服务器切换 （

13、即用户认证到备 iMC 上）。可建议该用户在出现问题后，再次尝试认证，正常情况下第二次认证应该能够通过。此 后维护人员可以登陆备份服务器查看在线用户列表， 确认该用户是否认证到了备份服务器上。2、此时需要分析造成交换机主备 Radius服务器切换的原因。首先建议检查交换机配置， 排除Radius Server地址是否配置有误的可能。如果主iMC地址配置有误，用户第二次会成功 认证到备机上。 另外还有一种情况， 主 iMC 服务器的地址配置正确， 但在主 iMC 服务器的地 址之前还误配置了其他Radius Server的地址也会导致该问题，只不过这种情况下第二次认证 时是成功认证到主 iMC

14、服务器上。3、排查交换机到主 iMC 服务器认证失败的原因需要综合考虑多方面的可能。正常的认证失败（如用户密码错误）不会导致交换机发生主备Radius服务器切换，只有当Radius报文交互未完成的情况下在会导致主备 Radius服务器切换。交换机与主服务器之间网络不通、网 络中的丢包（连续几个认证交互报文在交换机与服务器之间被丢弃）或者主服务器软硬件故 障都是有可能发生的。如果此时可以从其他交换机成功认证到主服务器上，则基本可以排除 主服务器软硬件故障的可能。这种情况下如要继续排查问题，建议首先排除交换机与主服务 器之间网络不通的可能，稍后可再次验证从发生主备切换的交换机上是否能够成功认证到主

15、 服务器上。4、 如果连续认证仍然报同样的错误，请首先检查交换机上是否配置了“aaa accounting dot1x default start-stop group radiu”s 命令，缺少该命令将导致从该交换机上认证的所有用户必 现该问题，始终无法通过安全检查。其次，请检查 iNode 客户端的连接属性中的参数配置。 确保在与思科设备配合的DHCP环境中，没有勾选“上传IP地址”。5、若确认配置无误，请再次复现该问题，同时记录问题处理的过程、发生问题的时间点 和用户名，收集客户端调试日志、用户接入组件调试日志、策略服务器调试日志，联系 H3C技术支持人员处理2.5 IP 或 MAC 地

16、址绑定检查失败问题现象：客户端认证失败，从服务侧查看认证失败记录显示为“ IP 或 MAC 地址绑定检查失败”。 处理步骤：1、请查看接入用户信息页面中， 已绑定的 IP 或者 MAC 与问题账户实际的 IP/MAC 是否 一致。如该帐号需要更换已绑定的 IP/MAC 地址或者新增 IP/MAC 绑定，可以直接修改接入 用户信息。2.6 域统一认证失败，服务侧查看认证失败记录显示为“ LDAP 用户密码 错误”问题现象：客户端认证失败，从服务侧查看认证失败记录显示为“ LDAP 用户密码错误”。处理步骤：与微软 AD 配合做域统一认证时， iMC 服务器本地不会储存域账户的密码，每次认证时 都

17、实时将验证密码的工作交由 AD 服务器处理。1、发生该问题时，如果不能登陆桌面，首先请用户确认是否在登陆时密码输入错误，其 次确认是否有可能在 AD 服务器上重置了该用户的密码而未知会终端用户。若以上操作无法 定位问题，请复现该问题，同时记录问题处理过程，收集 iMC 服务器上的抓包信息，联系 H3C 技术支持人员处理。2、发生该问题时，如果能够成功登陆到桌面，说明至少用户当前输入的密码曾经成功通 过认证，在操作系统本地已经有缓存。那么可以判断导致该问题的最直接的原因是 AD 上密 码已经更新，而当前仍然是使用的老密码登陆。请终端用户确认是否在登陆桌面时错误地输 入了旧密码。3、若确认已使用新

18、密码登陆，请再确认登陆操作系统时是否正确选择了登陆域，登陆桌面的过程中，登陆窗口的右侧是否提示“正在进行域统一认证请稍后” 。可能存在这种情况，用户登陆域时直接在登陆信息窗口中用户名一栏写成“域用户名域名”，而此时“登陆到”一栏将灰选。这种情况下“登陆到”如果灰选的状态停留在 “登陆本机”，则此时不会触发 域统一认证。4、在确保登陆域的基础上，可以在客户端连接属性手工重置密码，然后直接使用该连接 认证（无需重启 PC 触发域统一认证），验证问题是否解决。5、若以上操作无法定位问题，请复现该问题，同时记录问题处理过程，收集iMC 服务器上的抓包信息，联系 H3C 技术支持人员处理。2.7 域统一

19、认证失败， 服务侧查看认证失败记录显示为 “管理员配置错误” 请检查“ LDAP 业务管理服务器配置”中的管理 DN 是否配置正确。如果管理员在 AD 上所处的位置改变或管理员的实际密码修改了未在 iMC 上同步更改都会造成问题。2.8 余额不足在计费场景下，认证用户余额不足而下线。2.9 用户密码错误，您已经被加入黑名单在使用 iMC 的认证功能组件 UAM 时，有将用户加入黑名单的功能，目前有有三种方式可以将普通 帐号加入黑名单： 第一种情况：管理员主动将某帐号加入黑名单。这种情况下，黑名单功能仅仅针对帐号本身，一旦该帐号 加入黑名单不论在哪台客户端 PC 上登录均有效。请二种情况：如果采

20、用计费功能的话，帐号因欠费加入黑名单。这种情况下，也只针对帐号本身。和第一 点情况一样。第三种情况：由于密码多次输入错误（比如超过10 次），即恶意登录尝试加入黑名单。这种情况和前两种有区别，它针对帐号和用户使用的那台客户端PC 的 MAC 。也就是说，某帐号在某台 PC 上多次输入密码错误而加入黑名单后， 如果在其他 PC 上用正确的用户名和密码登录能正常上线， 而不受黑名单的限制。 这样做的目的是：防止当某人盗用其他人帐号，多次恶意在别的 PC 上登录多次而加入黑名单，但帐号拥 有者本身在自己的电脑上使用正确的帐号上线不受限制。缺省情况下是一天内输入 10 次错误的密码会被自动加入黑名单，

21、 即第三种情况。 到第二天凌晨自动解除。 “业务 >> 接入业务 >> 系统配置 >> 系统参数配置”中的“认证失败阈值”可调整可供尝试密码的次数。2.10 LDAP服务器上不支持 CHAP认证问题现象：结合LDAP服务器做认证时，输入用户名，密码后认证上线提示LDAP服务器不支持CHAP认证。处理步骤：由于结合微软AD（ LDAP ）认证，无法将用户密码同步到IMC系统来， 故，终端在认证上线后，认证账号的密码还需到AD上校验，如果采用CHAP认证方式，那么认证服务器和AD之间的密码校验不可逆，认证失败，此时，如果是dotlx认证，则需要修 改认证方式为p

22、ap或者eap（eap方式需要结合我司iNode客户端）dotlx authentication-method pap/eap如果是Portal认证方式，则在Portal服务管理 >>设备配置 >> 端口组信息配置里修改 认证方式：13业务R按入业爵» Ptxlaiffi芳它理设K（K去»莖口组信旦ft!近*桂决筑【】组信旦0* 口姐Mporlal-tesl*拦示语吉*齐瞬匚0+笑止鑼口T77TT?HTTPSV+快道认证T*是香NAT皆'欄濫传是T闻认证占I円世址组portaHest-，漳国鬲分钟*心跳囱30餾口组謎吝户弼班解用户厲I挨空*毘駅k证类舉丽:顽证lniflex_<3e-faurtj5p| 禎定 轨肖2.11 补丁检查失败问题