SANGFOR_AC_ALL_用户认证常见问题排查
  

Sangfor_闪电回_朱丽 11969

{{ttag.title}}
名词解释:
双向绑定:用户和地址双向绑定,指的是用户只能使用指定的地址且指定的地址只能给该用户使用,地址和用户是互为一一对应的关系,这里的地址可以是ip地址,mac地址或ip/mac同时绑定。
单向绑定:用户和地址单向绑定,指的是用户只能使用指定的地址,但其它用户也可以使用该地址,用户被绑定到指定的地址上,反过来,地址并没有被绑定到用户上。同样这里的地址也可以是ip地址,mac地址或ip/mac同时绑定。一般用于将多个用户绑定至一个或一段地址上。如某公司IT部有10个帐号,分配192.168.1.10-192.168.1.100这段IP给这10个客户使用,则需要通过单向绑定实现。

常见问题及排查步骤:
一、AC上看不到在线用户

1. 检查全局排除地址中是否添加了需要认证上网的网段或IP地址。
2. 旁路模式检查监控列表中是否添加正确
3. 检查内网PC的上网数据是否经过AC(可以在AC界面上抓包,若不方便看数据包的,这里提供一个简单的方法:把AC上的防火墙规则全部配置为拒绝,再测试内网用户上网是否正常,若这时还是可以正常上网,那数据有可能是没有经过AC的。)

二、二层环境下,不需要认证,认证丢包
1. 在内网找台测试PC开启拒绝列表,看拒绝列表日志的丢包提示。一般会显示是authd 或webattest丢包,并且后面跟上丢包原因描述信息。例如:bind mac err 0x12345678.
      如上就需要根据提示的错误MAC地址去组织结构搜索,看是否被其他用户绑定或绑定错误。然后删除错误的绑定用户,重新认证测试。
    2. 检查【用户与策略管理】-【认证选项】-【其他认证选项】中"mac地址发生变动时需要重新认证"是否勾选,2层环境中,此选项需要勾选。

三.三层环境下,不需要认证,认证丢包
    1.如果做了IPMAC绑定,先检查跨三层绑定是否正确配置,这里需要注意一点,内网如果有多个三层交换机,不是所有的三层交换机都要填写到跨三层绑定列表,我们只需要填写有接入用户的三层交换机即可。
    2. 选择测试PC开启拒绝列表,看拒绝列表日志的丢包提示。一般会显示是authd 或webattest丢包,并且后面跟上丢包原因描述信息。例如:bind mac err 0x12345678.
      注意,提示绑定的错误MAC,需要确认下是否是下面三层交换机的MAC:
如果是,说明跨三层识别有问题,请用BPSNMPUtil工具,看是否能获取到SNMP服务器上的ARP信息,如下图:

如果不是三层交换机MAC,就需要根据提示的错误MAC地址去组织结构搜索,看是否被其他用户绑定或绑定错误。然后删除错误的绑定用户,重新认证测试。

四、启用了WEB认证,弹不出认证页面
1、设备到内网是否路由可达,内网有三层环境,需要添加到内网的回包路由;
2、网桥模式下,要正确配置设备的网关地址指向前置设备
3、AC设备上的认证选项设置中需要启用“未通过认证的用户允许访问dns服务”
4、如果内网打开网页通过非80端口,且内网通过代理服务器上网,AC设备上的认证选项设置中需要启用“未通过认证的用户允许访问根组基本权限”。
5、根组关联的上网策略不能拒绝http应用和dns应用。
6、防火墙规则不能拒绝80和53端口。
7、如果是PC使用正常,手机弹不出,请确认手机用户使用的是什么浏览器(建议使用手机自带浏览器,不要用第三方的)

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

顺络雄起! 发表于 2016-1-8 14:02
  
好帖
大兵 发表于 2016-1-22 23:02
  
AC1200 M6.0版本,做短信认证,客户端不能跳转到验证页面,已按上述方法排查,后台日志显示:i0:sms_check.cpp:284 Load smscat_status failed!
大兵 发表于 2016-1-27 17:10
  
某公司配备的短信猫,通过SSL或AC上提供的SMS短信平台程序发送
新手306713 发表于 2016-6-27 15:56
  
绑定了ip但是还是提示上网认证怎么办
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
每日一问
干货满满
新版本体验
产品连连看
GIF动图学习
2023技术争霸赛专题
技术咨询
功能体验
通用技术
秒懂零信任
安装部署配置
原创分享
技术晨报
自助服务平台操作指引
每周精选
标准化排查
排障笔记本
玩转零信任
深信服技术支持平台
社区新周刊
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
352

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人