1)、未认证:代表没有完整的三次握手流量过设备但存在部分流量经过设备
2)、账号密码错误:不一定是账号密码错误,若用户名为pc的mac地址说明交换机提交认证的用户名错误,可能存在的原因:接口未开启802.1x认证但是配置了哑终端认证。
3)、绑定校验失败:查看设备用户绑定及IP/MAC绑定是否存在冲突
2、查看客户端认证提示信息确认失败原因
1)、提示登录超时:这种情况下,是由于认证助手发出的包没有收到回包所致先确定用户是不是存在多网卡,选择了不能用的网卡。
2)、提示用户名或密码或绑定校验失败:确定用户名密码及用户绑定是否正确以及是否有包到达ac
3)、提示未知错误:检查是否有杀毒软件拦截了认证助手
3、查看当前系统日志中freeradius的调试日志确认具体在哪个阶段失败
1)、若系统日志中没有任何日志需判断是否有包发送过来及程序运行是否正常;
2)、若出现如上日志代表用户认证成功,没上线情况需按照上一节排查用户不上线的问题;
4、常见AD域用户认证失败原因
1)、在AC设备终端前端抓包,确保认证请求包使用的是EAP-PEAP协议,否则域账号通过ntlm协议在域服务端验证失败
如何抓:
示例报文:
2)、确认域服务器上面账号允许AC进行认证,如下图 需要使用任意一种