问题现象:mac m1芯片终端拨入后,出现用户立即退出的情况;
版本信息:
M7.6.0
scclient 4.2_20140606
mdlan M5.35_20171013
DLAN5.35 Build20171013
排查:
1、登录VPN控制台,看下日志: [svcauthd] Logout XXX, sessid: 1900b1861f16005e
[sveauthd] Illega Access: 1900b1861f1605e name XXX. type=2 proto=0 a0242be IP地址:443
这两条日志的合义为访问这地为【IP地址】的L3VPN资源出现鉴权失败,type=2是表示L3VPN类型资源
2、检查问题用户,发现用户授权策略关联了TCP类型的资源; 将TCP类型的资源从授权里面取消,或者新建测试账号只关联L3VPN类型的资源,在问题终端上测试,问题现象消失;
根本原因: Mac11以上版本不支持TCP资源,默认会将资源转为L3VPN 资源去访问,如果服务器没有给账号发布L3VPN资源,那么就会出现鉴权失败的回题,将客户端注销掉。 用户账号实际上有关联其它地址的L3VPN类型资源,正常情况下客户端访问TCP资源时也会转换为L3VPN类型的资源去访问,但是此案列中并没有去转换;
解决方案:
由于只是单个Mac电脑出现这问题,所以可以通过在服务端发布鉴权失败的资源地址为L3VPN资源去解决。 |