背景描述
在AOS 8.3版本时,我们很多客户环境是采用Aruba无线和第三方的Radius Server(包括城市热点,Free Radius 等)集成来完成无线用户的1x认证,但是发现同样的环境下,当我们的控制器升级到 AOS 8.5及以上版本时,确认了终端输入的账号和密码都正确的情况下,同时后台的第三方Radius Server也没有做任何变更或者升级操作,仍然发现用户的1x认证总是失败,在控制器上show log errorlog all,总是提示Multiple User_Name attributes in RADIUS response packet. Drop the whole packet错误。
原因
因为我们控制器从AOS8.3升级到AOS8.5及以上版本后,由于系统考虑认证安全性,在控制器上对含有2个相同User-Name属性的Radius(Access Accept)报文进行丢弃,这个也是导致为什么无线终端在正确的账号和密码下仍然无法完成1x认证。
解决办法
仅仅针对1x认证环境下
- 尽可能要求第三方的Radius Server调整配置,仅仅返回一个User-Name属性的Radius(Access Accept)报文,因为通常很多第三方Radius Server会根据NAS设备的Radius(Access Request)报文中携带了User-Name属性,就会自动附加返回一个相同User-Name属性的Radius(Access Accept)报文给到NAS设备,从而导致了2个User-Name属性。
- 如果第三方的Radius Server无法调整配置,那么我们也可以在控制器上(作为NAS 设备)发起的Radius(Access Request)报文中去掉User-Name属性,从而让第三方的Radius Server不会多携带一个User-Name属性在Radius(Access Accept)报文中返回给NAS设备。
详细内容参考: