背景信息
RADIUS服务器回应认证拒绝报文(Access-Reject),表示客户端发送的Access-Request报文中某些属性未通过验证,客户端认证失败。
故障现象
RADIUS服务器回应认证拒绝报文时,查看命令display aaa online-fail-record all和Trace诊断信息的显示如下:
执行命令display aaa online-fail-record all,User online fail reason字段显示为Radius authentication reject。
Trace诊断信息显示Received a authentication reject packet from radius server(server ip = 10.1.1.1),可以直接看到服务器的IP地址信息,定位到具体的服务器。
处理步骤
服务器回应认证拒绝有多种原因,最常见的有用户名密码错误、RADIUS服务器授权策略无法匹配等,这些问题需要首先通过排查RADIUS服务器日志并且借助设备上的test-aaa功能,找到根因后,再调整服务器、终端或设备配置解决。
此外,对于使用到证书的802.1X认证,终端和服务器需要检验证书的合法性(终端采用EAP-PEAP认证时可以取消验证服务器证书)。遇到这类问题需要在终端或者服务器获取报文分析。常见的证书错误包括CA证书未加入终端信任列表,证书过期等,例如报错Unknown CA。