芯耀
1363
故障现象
某地M6000-S开启TACACS+账号登录认证后,发现设备登录经常会上报用户密码错误,过一段时间才恢复正常。
故障分析
设备登录时上报用户密码错误,可能原因包括:
TACACS+服务器机制问题。
M6000-S TACACS+配置问题。
故障处理
1. 检查M6000-S设备TACACS+配置及账号信息配置,暂未发现问题。
2. 协调TACACS+侧检查服务器配置,暂未发现问题。
3. 因为不是每次登录都失败,进行了多次登录测试,发现了规律:第一次密码输入错误后,再输入正确密码登录就会报账号密码错,并且持续大概5分钟。
4. 在报账号密码错误时,M6000-S上查看TACACS+状态,发现是dead状态。
5. 基本可以判断出频繁登录失败原因,第一次密码输入错误后,M6000-S上的TACACS+状态变为了dead,导致进行了本地认证,本地无此账号,因此上报了账号密码错误。
6. 继续排查TACACS+认证密码输入错误就会dead的原因,检查M6000-S TACACS+ deadtime配置,发现默认为5分钟,这和账号5分钟无法登录时间一致。
7. 仔细检查,发现TACACS+账号认证失败后,M6000-S显示的是认证timeout,而不是认证失败。
8. 联系TACACS+侧抓包进行分析,发现在输入密码错误的情况下,TACACS+服务器不回复认证失败消息。
9. 目前可以判断故障原因:当M6000-S上的登录密码输错后,TACACS+服务器不回复认证失败信息,设备等待TACACS+ timeout时间到期后,认为TACACS+服务器故障,将该服务器置为dead状态,按照默认配置,时间为5分钟。
10. 故障解决方法有两种:
(1)要求TACACS+服务器侧恢复认证失败消息。
(2)在M6000-S上将dead时间置为0。
通过沟通,TACACS+服务器侧修改了配置,在用户密码输错时回复认证失败消息,问题得到了解决。第一次输入密码后,上报认证失败,再次输入正确密码后可以正常登录。
故障总结
只有一个TACACS+服务器的情况下,建议M6000-S的tacacs-server deadtime设置为0。
