渠道高级认证培训13 用户认证排错指导.ppt

培训内容 培训目标 IP/MAC绑定排错 1. 掌握IP/MAC绑定冲突的排查思路和方法 密码认证排错 1.掌握无法弹出密码认证框的排查思路和方法 IP/MAC绑定排错 问题一 ：IP/MAC绑定不生效 如下图，客户使用AC设备做了跨三层的MAC绑定，但是发现内网00这个用户还是上不了网，也添加不到用户组中怎么排查？ 排查思路： 1.查看在线用户列表 2.开启拦截日志，获取拦截信息 3.修改错误配置，或者删除错误的IP/MAC绑定 问题一： IP/MAC绑定不生效 步骤1 查看在线用户列表，检查用户是以00-00-00-00-00-00的MAC地址上线了，还是没有在在线用户列表中 。 如果用户上线的MAC地址显示为全0的MAC，则说明AC设备通过SNMP没有获取到用户电脑真正的mac地址。 此时需要检查交换机上SNMP是否正常开启，另外AC上的跨三层绑定配置选项是否配置正确。 问题一： IP/MAC绑定不生效 本案例中是由于将交换机的地址填写错误导致IP/MAC绑定不生效 问题一：IP/MAC绑定不生效 步骤2 如果在线用户列表没有用户出现，则开启拒绝列表，然后内网电脑访问外网，查看拦截日志 不勾选该项，才有助于排查 日志说明00存在mac绑定冲突的情况，设备通过SNMP获取到的电脑mac是B8-70-F4-3A-42-2B 问题一：IP/MAC绑定不生效 步骤3 到用户组去搜索内网电脑的IP00或MAC B8-70-F4-3A-42-2B，找到被绑定的用户，并删除 可以发现00绑定了错误的MAC地址。删除错误的绑定关系，或更改正确绑定关系。 问题一：IP/MAC绑定不生效 步骤4 到在线用户列表确认用户认证成功 重新在“用户绑定”列表查看00用户，发现已绑定正确 密码认证排错 问题一 ：电脑弹不出密码认证页面 如图，AC路由部署在公网出口，内网有一台三层交换机，内网用户通过AC上网，AC结合LDAP服务器做外部认证。现在用户发现上不了网，打开网页也没有弹出密码认证框。如何排查？ 排错思路： 1. 电脑的网关和DNS配置正确，能正常上网和解析域名 2. AC是否启用未通过认证的用户，允许访问DNS服务“ 3. AC设备和内网电脑的连通性是否正常，如AC设备路由配置是否正确？ 4. 认证策略是否启用密码认证 问题一：电脑弹不出密码认证页面 步骤1 检查AC设备认证策略是否启用密码认证 步骤2 检查AC设备到内网电脑的回包路由（网桥模式使用虚拟地址重定向不需要） 问题一 ：电脑弹不出密码认证页面 步骤3 检查AC是否允许用户认证成功之前能访问DNS服务 问题一 ：电脑弹不出密码认证页面 步骤4 客户端电脑检查网关和DNS设置是否正确，能否解析出域名 注意：这里之所以能解析出域名并且能ping通外网地址,是因为在AC上启用了“未通过认证用户可以访问dns服务”及“未通过认证用户具体根组权限（http应用除外）” 问题一 ：电脑弹不出密码认证页面 步骤5 重新访问外网测试用户认证框能否正常弹出 问题二 ：密码认证失败 现在用户做密码认证可以弹出密码认证框了，但是输入域账号user3和密码的时候提示用户名密码不正确，跟域管理员确认过账号的用户名和密码没有问题。怎么排查？ 排查思路： 1. 检查AC设备和服务器的连通性 2. 检查AC设备组织结构是否存在相同用户名的本地账号 3. 检查域账号是否同步到AC设备上来，或者认证策略是否启用新用户认证 问题二 ：密码认证失败 步骤1 检查设备和LDAP服务器的连通性，可以在设备外部认证服务器页面进行连通性测试 问题二 ：密码认证失败 步骤2 检查组织结构是否存在相同用户名的本地账号，如果有本地账号，AC设备优先认证本地账号，删除本地账号 有勾选“本地密码”说明是本地账号 问题二 ：密码认证失败 步骤3 重新使用user3登陆测试，可以认证成功，从所属组也可以看出是域上同步过来的账号 外部认证流程图 PC的上网数据 AC/SG根据IP、MAC匹配认证策略 密码认证 重定向到认证页面 输入用户名和密码 AC/SG有对应用户名且设置本地密码？ Y 本地认证成功/失败 N 认证未通过 认证失败 用户认证信息发到第三方服务器 AC/SG有对应用户名？ 认证 通过 认证成功 Y N 匹配新用户认证策略作为临时用户或加入本地组 Y 新组件LDAP单点登录排错 新组件单点登录不生效 如图，AC路由部署在公网出口，内网有一台三层交换机，内网用户通过AC上网，AC结合LDAP服务器做新组件单点登陆。现在用户发现单点登录不生效，要输入用户名密码后才能打开网页。如何排查？ 排查思路： 1.检查基本配置 2.手动运行logon.exe脚本，观察