用户能够认证成功,SMP上存在用户在线信息,但仍无法ping通安全域权限范围内的应用服务器
1)、查看SMP信息系统配置;确认信息系统IP地址,所属安全域配置正确,如有错误,修改配置并确认故障是否解决;
2)、查看SMP用户组权限配置:位置:身份认证管理 > 管理用户组 > 查询用户组 > 信息系统控制,确认该用户所在用户组具有对此信息系统的访问权限,如有错误,修改配置并确认故障是否解决;
3)、检查FW配置及日志:
通过show run,查看用户认证成功后,ePortal下发至FW的安全策略是否正确,如下:
ip access-list
extended acl_sz_10.100.30.212//自动生成用户(10.100.30.212)访问控制策略
10 permit ip host 10.100.30.212 host
10.200.2.10 //此用户具有访问权限的信息系统1
20 permit ip host
10.100.30.212 host 10.200.1.10 //此用户具有访问权限的信息系统2
security-access
acl_sz_10.100.30.212 from default to smp_10035 log //自动应用在两个安全域之间
4)、对比认证过程报文,定位故障点;
①.认证成功报文:
②.ePortal与SMP、FW的RADIUS报文及SNMP报文交互过程
|
交互过程 |
ePortal→SMP |
SMP→ePortal |
ePortal→FW |
FW→ePortal |
关键字段 |
说明 |
|
1 |
Radius-Access-Request |
— |
— |
— |
AVP中包含用户信息: User-Name,NAS-Port,Vendor-Specific,NAS-IP-ADDRESS |
ePortal携带认证客户端信息请求Radius认证,其中厂商自定义字段中携带客户端类型,安全域信息 |
|
2 |
— |
Radius-Access-Accept |
— |
— |
AVP中包含用户信息:Vendor-Specific |
厂商自定义字段中携带安全域和信息系统信息,即,该用户所在组的权限设置 |
|
3 |
— |
— |
SNMP-set-request |
— |
set-request |
ePortal通过SNMP协议向FW下发用户安全策略 |
|
4 |
— |
— |
— |
SNMP-get-response |
|
FW成功响应ePortal的SNMP写入操作 |