У меня в конторе коммутаторы доступа huawei серий s5600 и s5300. Причём s5300 с разными прошивками в связи с чем появилась проблема с ааа.
Недавно наша организация приобрела коммутатор Huawei Quidway S5352C-PWR-EI VRP (R) software, Version 5.130 (S5300 V200R003C00SPC300), он был сконфигурирован по аналогии с приобретённым ранее таким же коммутатором Quidway S5352C-PWR-EI VRP (R) software, Version 5.70 (S5300 V100R005C01SPC100). К сожалению функции mac-authentication перестали корректно работать, в частности на сервер CAMS связка логин-пароль приходит в виде
Login Name 00080d5b0ef3
Account 00080d5b0ef3
Вместо:
Login Name 00080d5b0ef3@CAMS
Account 00080d5b0ef3
Конфигурация S5352C-PWR-EI:
<code>
######################################
#
domain cams
#
mac-authen
mac-authen domain cams
#
radius-server template cams
radius-server shared-key cipher *****
radius-server authentication 192.168.254.254 1812 weight 80
radius-server accounting 192.168.254.254 1813 weight 80
radius-server traffic-unit mbyte
radius-server attribute translate
radius-server template CAMS
radius-server shared-key cipher*****
radius-server authentication 192.168.254.254 1812 weight 80
radius-server accounting 192.168.254.254 1813 weight 80
radius-server traffic-unit mbyte
radius-server attribute translate
radius-server authorization 192.168.254.254 shared-key cipher***** server-group CAMS
#
hwtacacs-server template cams
hwtacacs-server authentication 192.168.254.254
hwtacacs-server authorization 192.168.254.254
hwtacacs-server accounting 192.168.254.254
hwtacacs-server shared-key cipher *****
#
aaa
authentication-scheme default
authentication-scheme cams
authentication-mode radius hwtacacs
authentication-scheme CAMS
authentication-mode radius hwtacacs
authorization-scheme default
authorization-scheme cams
authorization-mode if-authenticated hwtacacs
authorization-scheme CAMS
authorization-mode if-authenticated hwtacacs
accounting-scheme default
accounting-scheme cams
accounting-mode radius
accounting realtime 10
accounting start-fail online
accounting interim-fail max-times 255 online
accounting-scheme CAMS
accounting-mode radius
accounting realtime 10
accounting start-fail online
accounting interim-fail max-times 255 online
recording-scheme cams
recording-mode hwtacacs cams
recording-scheme CAMS
recording-mode hwtacacs cams
service-scheme cams
service-scheme CAMS
domain default
domain default_admin
domain cams
authentication-scheme cams
accounting-scheme cams
authorization-scheme cams
service-scheme cams
radius-server cams
hwtacacs-server cams
#
interface GigabitEthernet0/0/1
voice-vlan 120 enable
voice-vlan legacy enable
stp edged-port enable
mac-authen
########################################
</code>
Проверка тестовой записи в обоих коммутаторов дали одинаковый результат:
<code>
<SW-A>test-aaa test test radius-template cams
Error: User name or password is wrong.
<SW-A>test-aaa test@cams test radius-template cams
Info: Account test succeed.
</code>
Подскажите, можно ли как то исправить ситуацию, что бы запрос к RADIUS шёл с правильными атрибутами.(с текущими настройками коммутатор со свежей прошивкой не передаёт @cams)
Суть проблемы в отсутствии "Domain Name Delimiter"(@) и имени домена в логине, хотя в конфиге они прописаны:
<code>
<SW-A>display aaa configuration
Domain Name Delimiter : @
Domainname parse direction : Left to right
Domainname location : After-delimiter
Domain : total: 32 used: 3
Authentication-scheme : total: 16 used: 2
Accounting-scheme : total: 16 used: 2
Authorization-scheme : total: 16 used: 2
Service-scheme : total: 16 used: 1
</code>
На данный момент проблему решил скинув прошивку версии v100 на новый коммутатор и всё заработало.
