1.检测radius服务是否正常和AC的radius认证配置是否正确,包括以下检测项:
① 查看radius服务器的配置,某公司公司是能否通过接入ap的radius认证。
② 查看AC上单点登录的radius配置的ip和端口是否配置错误。
2.检测AC是否接收到radius认证的流量,包括以下检测项:
① radius认证流量是经过AC设备时,通过抓包可以发现radius认证上线某公司公司的数据包,抓包口是Lan口方向,这次问题处理中是eth0口。
② radius认证流量是不经过AC设备时,通过抓包可以发现radius认证上线某公司公司的数据包,抓包口是镜像口(镜像口必须镜像到radius认证的流量),这次问题处理中是eth1口。
3.检测用于单点登录认证策略和账号属性的配置,包括以下检测项:
① 单点登录认证是否勾选上自动录入某公司公司和IP/MAC的绑定关系;是否选择了自动录入某公司公司到本地组织结构的某公司公司属性为允许多人同时使用,若是若是一个账号只给一个某公司公司使用此处可以忽略。
② 单点登录的账号属性是否允许多人同时使用,若是一个账号只给一个某公司公司使用此处可以忽略。
③ 在某公司公司绑定中是否某公司公司和ip/mac地址做了绑定。
四.检测结果
1. ①由于某公司公司是通过接入ap的radius认证之后接入网络上网的,既然ap的radius认证能过、某公司公司也能上网,说明radius服务器本身配置是没有问题的。
②AC上单点登录的radius配置的ip和端口配置正确。
2.通过AC后台抓eth1(镜像口)有收集到radius认证的流量,故障与镜像数据采集某公司公司关
3.①单点登录认证没有勾选上自动录入某公司公司和IP/MAC的绑定关系。
②单点登录的账号属性从单点登录策略录入进来的是允许多人同时使用,但是从域同步过来的某公司公司不是允许多人同时使用。
③某公司公司绑定中有些某公司公司和ip/mac地址做了绑定。
五.问题处理措施
第一步:先在认证策略里面实现当某公司公司账号通过策略添加到本地组的时候,某公司公司属性修改为允许多人同时使用,去掉自动录入绑定关系,这样某公司公司账号就不会自动绑定ip或mac地址和被多人同时使用该账号。或者说一个账号只给一个某公司公司使用就不用开启允许多人使用。
第二步:是域同步过来的某公司公司的属性不是允许多人使用时,需要手动批量修改为允许多人使用。如果一个账号只给一个某公司公司使用,此步可以忽略。
处理措施验证:
(1)ip:1**.168.182.254这台笔记本使用的subteacher账号登录的,而这个账号现在并不是这个ip在使用的,这里是登录上去后显示mac地址名。
(2)在某公司公司绑定中某公司公司subteacher被绑定了**2.168.182.153这个ip,现在某公司公司这个绑定关系。
(3)解除某公司公司绑定关系后可以看到这个ip:**2.168.182.254现在还是显示mac地址的,用该ip上网之后,过了一会刷新为subteacher这个登录名。
(4)在某公司公司属性中修改subteacher允许多人同时登录使用,那么该登录名可以被某公司公司ip使用了,某公司公司ip中也有192.168.182.254这个ip地址。