У меня в конторе коммутаторы доступа huawei серий s5600 и s5300. Причём s5300 с разными прошивками в связи с чем появилась проблема с ааа.

Недавно наша организация приобрела коммутатор Huawei Quidway S5352C-PWR-EI VRP (R) software, Version 5.130 (S5300 V200R003C00SPC300), он был сконфигурирован по аналогии с приобретённым ранее таким же коммутатором Quidway S5352C-PWR-EI VRP (R) software, Version 5.70 (S5300 V100R005C01SPC100). К сожалению функции mac-authentication перестали корректно работать, в частности на сервер CAMS связка логин-пароль приходит в виде

Login Name 00080d5b0ef3

Account 00080d5b0ef3

Вместо:

Login Name 00080d5b0ef3@CAMS

Account 00080d5b0ef3

Конфигурация S5352C-PWR-EI:

<code>

######################################

#

domain cams

#

mac-authen

mac-authen domain cams

#

radius-server template cams

radius-server shared-key cipher *****

radius-server authentication 192.168.254.254 1812 weight 80

radius-server accounting 192.168.254.254 1813 weight 80

radius-server traffic-unit mbyte

radius-server attribute translate

radius-server template CAMS

radius-server shared-key cipher*****

radius-server authentication 192.168.254.254 1812 weight 80

radius-server accounting 192.168.254.254 1813 weight 80

radius-server traffic-unit mbyte

radius-server attribute translate

radius-server authorization 192.168.254.254 shared-key cipher***** server-group CAMS

#

hwtacacs-server template cams

hwtacacs-server authentication 192.168.254.254

hwtacacs-server authorization 192.168.254.254

hwtacacs-server accounting 192.168.254.254

hwtacacs-server shared-key cipher *****

#

aaa

authentication-scheme default

authentication-scheme cams

authentication-mode radius hwtacacs

authentication-scheme CAMS

authentication-mode radius hwtacacs

authorization-scheme default

authorization-scheme cams

authorization-mode if-authenticated hwtacacs

authorization-scheme CAMS

authorization-mode if-authenticated hwtacacs

accounting-scheme default

accounting-scheme cams

accounting-mode radius

accounting realtime 10

accounting start-fail online

accounting interim-fail max-times 255 online

accounting-scheme CAMS

accounting-mode radius

accounting realtime 10

accounting start-fail online

accounting interim-fail max-times 255 online

recording-scheme cams

recording-mode hwtacacs cams

recording-scheme CAMS

recording-mode hwtacacs cams

service-scheme cams

service-scheme CAMS

domain default

domain default_admin

domain cams

authentication-scheme cams

accounting-scheme cams

authorization-scheme cams

service-scheme cams

radius-server cams

hwtacacs-server cams

#

interface GigabitEthernet0/0/1

voice-vlan 120 enable

voice-vlan legacy enable

stp edged-port enable

mac-authen

########################################

</code>

Проверка тестовой записи в обоих коммутаторов дали одинаковый результат:

<code>

<SW-A>test-aaa test test radius-template cams

Error: User name or password is wrong.

<SW-A>test-aaa test@cams test radius-template cams

Info: Account test succeed.

</code>

Подскажите, можно ли как то исправить ситуацию, что бы запрос к RADIUS шёл с правильными атрибутами.(с текущими настройками коммутатор со свежей прошивкой не передаёт @cams)

Суть проблемы в отсутствии "Domain Name Delimiter"(@) и имени домена в логине, хотя в конфиге они прописаны:

<code>

<SW-A>display aaa configuration

Domain Name Delimiter : @

Domainname parse direction : Left to right

Domainname location : After-delimiter

Domain : total: 32 used: 3

Authentication-scheme : total: 16 used: 2

Accounting-scheme : total: 16 used: 2

Authorization-scheme : total: 16 used: 2

Service-scheme : total: 16 used: 1

</code>

На данный момент проблему решил скинув прошивку версии v100 на новый коммутатор и всё заработало.

Добрый день! Пикабу пестрит постами о профессиях, но я не разу не встречал таковых про пусконаладочные работы систем безопасности. Есть ли кто в теме)?

P.S. На фото - контроллер СКУД (Система контроля и управления доступом) Apollo AIM-4SL.

Мы тянули кабеля))

Было это году этак в 2007, тогда были очень популярны локальные сетки со своей инфраструктурой (хабы с медиаконтентом, свой чатик и игровые серваки), тогда я шарил в информационных технологиях на уровне вкл/выкл пк и установки софта.

Так вот, был у меня на тот момент роутер d-link dir300 *шутка про тракториста* который безбожно грелся и отрубал и так плоховастенький интернет (чтобы нормально поиграть в вов, обкладывал роутер замороженной смородиной, чтоб вы понимали). В один прекрасный день, роутер снова перегрелся и я, вставив кабель нашей локальной сетки в комп, дабы погрузиться в волшебный мир виртуального района, унес полностью отключенный роутер охлаждаться на балкон. После чего, из за компа, по праву старшего, меня выпнул отец и я ушел гулять. Вернувшись, я увидел, как папка залипает в интернет и какого было мое и его удивление (О_о  о_О), когда я молча вынес роутер с балкона и показал ему. На тот момент, мне показалось, что произошло чудо и каким-то образом нам достался безлимитный, полностью функционирующий интернет без всяких проводов (про вай-фай я тогда слышал краем уха лишь).

Ну, конечно же, все было гораздо прозаичнее, как выяснилось кто-то шарил свой интернет на всю лвс, причем даже не знал об этом. Халявой я тогда пользовался немного, ибо совесть, только когда охлаждался бедолага-роутер.