宽带帐户不支持WEB认证怎么办

故障现象：Web认证环境下，用户在Portal登录页输入正确的用户名和密码，认证不成功，提示认证异常的错误信息。

故障可能原因
1、接入设备的WEB认证配置错误
2、接入设备配置、ePortal和SAM配置信息不一致
3、ePortal服务器启动了系统自带SNMP组件
4、接入设备未做降噪配置

故障处理流程

4、故障处理步骤

步骤1 排查接入设备的Web认证配置是否正确
1   通过Console口登录到接入设备，执行”show run“命令，查看当前设备的配置信息。
2   若Web认证接入设备为有线交换机，请比对以下典型配置，检查设备的web认证配置是否正确。
² 典型的有线交换机web认证模板（以S26系列设备为例）如下：
Ruijie# configure terminal
/ 配置通信密钥，对ePortal服务器返回的链接加密，实例中通讯密钥是“ruijie” /
Ruijie(config)# web-auth portal key ruijie
/ 未认证用户访问直通地址，用于学习网关arp，通常设置网关（如192168331）为直通地址 /
Ruijie(config)# >

注意： 本例中snmp-server community 是重要配置，Web认证信息验证通过后，会通知设备打开上网通道，若community key没有配置会配置不正确，都会导致打开上网通道失败，web认证不成功。

3    若Web认证接入设备为无线交换机，存在两种Web认证配置方法，分别称为一代Portal认证和二代Portal认证，请比对以下典型配置，检查设备的web认证配置是否正确。
² 典型的无线一代portal认证模板（以WS57系列设备为例）如下：
Ruijie# configure terminal
/ 配置通信密钥，对ePortal服务器返回的链接加密，实例中通讯密钥是“ruijie” /
Ruijie(config)# web-auth portal key ruijie
/ 设置直通地址，即ePortal服务器地址，如“172201100” /
Ruijie(config)# >

注意： 本例AC采用一代Portal配置，认证原理与有线交换机基本一致。同样的，snmp-server community是重要配置，Web认证信息验证通过后，会通知设备打开上网通道，若communitykey没有配置会配置不正确，都会导致打开上网通道失败，web认证不成功。

² 典型的无线二代portal认证模板（以WS57系列设备为例）如下：
Ruijie# configure terminal
/ 创建全局Portal服务器，服务器名为default、IP地址17220110（可修改ePortal服务IP）、认证主页>

注意： 本例AC采用二代Portal认证配置，与一代不同的是，AC还承担Radius认证客户端的角色，因此AAA配置是必须要有的，若是缺少AAA配置，web认证就无法正常进行。

检查设备Web认证配置，排除配置错误导致认证失败的问题，若依然认证不成功，则进入下一步骤的排查。

步骤2 排查接入设备与ePortal和SAM配置信息是否一致
1    在认证PC机的浏览器地址栏内输入访问网站的URL地址，如“>

2    在认证登录页面，输入用户名密码，点击“登录”按钮，页面顶部出现“认证失败！"的提示。

3    首先登录ePortal系统，查看日志管理下的日志信息。

4    若页面认证失败且ePortal日志出现类似“用户(xxx)认证失败,原因：设备community配置错误导致设备不通,打开设备(xxxxxxxxxxxx)上网通道失败”的提示，说明接入设备的community key不正确

5    若页面认证失败且ePortal日志出现类似“用户(xxx)认证失败,Radius服务器没有响应”的提示，说明Web认证过程中，在进行Radius 认证的环节出现了问题。

按以下步骤检查ePortal和SAM配置的Radius Key值是否一致。
1)  若接入设备是有线交换机或一代Portal认证的AC设备，ePortal作为认证客户端发起Radius认证，需要检查ePortal系统配置和SAM系统的设备配置。
首先，查看ePortal系统配置的Radius Key，

其次，查看SAM登记的RG-ePortal的设备Key，

检查ePortal系统配置的Radius Key和SAM登记的RG-ePortal的设备Key的值，若两者的值不一致，则需要修改成相同的值。
2)  若接入设备是一代Portal认证的AC设备，AC设备作为认证客户端发起Radius认证，因此需要检查AC设备和SAM系统的设备配置。
首先，查看AC设备的配置信息，通过Console口登录设备，进入特权模式，执行“show run”命令，找到radius-server信息，查看key值

其次，查看SAM登记的AC设备的Key

检查AC设备的Radius Key和SAM系统登记的AC设备Key的值，若两者的值不一致，则需要修改成相同的值。
5    检查接入设备配置、ePortal和SAM的相关配置，排除配置错误导致认证失败的问题，若依然认证不成功，则进入下一步骤的排查。

步骤3 排查ePortal服务器是否启用系统自带SNMP组件
1    在认证PC机的浏览器地址栏内输入访问网站的URL地址，如“>

2    在认证登录页面，输入用户名密码，点击“登录”按钮，页面顶部出现“认证失败！"的提示

需要注意的是，虽然页面提示“认证失败”，但实际上已经可以正常连通网络，说明上网通道已经被打开了。
3    登录ePortal系统，查看日志管理下的日志信息，发现“用户(xxx)上线失败,由于出现异常情况”的提示

4    登录SAM系统，查看在线用户表，发现该用户已在线

若出现类似情况，判断原因是认证成功后，通过SNMP服务打开上网通道出现异常了。

5    查看当前ePortal服务器的系统服务是否异常，通过“开始”-- “运行”，执行“servicesmsc“命令

打开服务列表窗口，查找是否存在“SNMP Service”的服务，且已经被启动

若系统的SNMP Service服务被启动，则与ePortal的SNMP服务冲突了，导致SNMP功能失效。
6    依照以下步骤关闭系统SNMP服务
       1) 双击“SNMP Service”
       2) 启动类型修改为“手动”
       3) 手动停止SNMP Service
       4) 点击“确定”，使当前配置生效

7    关闭系统SNMP服务后，重启ePortal服务。

排除SNMP服务冲突的问题后，若依然认证不成功，则进入下一步骤的排查。

步骤4 排查接入设备是否支持降噪配置
在网络环境没有变化的情况下，若认证业务高峰期出现Web认证失败问题，而在平时都可以正常认证，需要检查web认证的接入设备是否支持降噪。
降噪是指接入设备屏蔽非浏览器发起的>

查看software version信息，若软件版本低于RGOS 103版本，则交换机版本不支持web认证降噪，需要升级到最新版本，请联系4008111000索取最新版本信息。
3     若接入设备为AC设备，进入特权模式，输入“show version”，

查看software version信息，若软件版本低于RGOS 104(1T17)版本，则AC交换机版本不支持web认证降噪，需要升级到最新版本，联系4008111000协助处理。
4     若接入设备为ACE设备，首先识别ACE硬件版本，若是ACEv50设备直接输入“show version”，

查看version信息，若软件版本低于340版本，则AC交换机版本不支持web认证降噪，需要升级到最新版本。ACEv30不支持降噪功能，请先升级到ACEv50版本。具体ACE升级版本和 *** 作步骤，请联系4008111000协助处理。

检查接入设备版本符合降噪配置的要求，若依然认证不成功，则进入下一步骤的排查。

步骤5 收集信息并联系4008111000协助处理
拨打4008111000寻求技术支持，收集如下故障信息，进行故障进一步处理。
1  ePortal和SAM的软件版本号
登录ePortal系统，点击“关于系统”图标，d出版本信息。
登录SAM系统，点击右下角“关于”图标，d出版本信息。

2  接入设备的配置信息
若接入设备为交换机或AC无线设备，登录设备进入特权模式，执行“show run”命令，将输出结果保存成文件。
若接入设备为ACE设备，请将“认证服务器配置”的配置内容截图。
3  ePortal服务器填写的接入设备信息
进入“设备管理”菜单，选择查看设备，d出设备详细信息。

4  SAM服务器填写的接入设备信息
进入“设备管理”菜单，选择查看设备，d出设备详细信息。

5  提供PC端、ePortal服务端、SAM服务端的报文
1)  分别在PC端、ePortal服务端和SAM服务端，打开wireshark工具，并监控网卡，准备开始抓包；
2)  在PC上执行一次完整的web认证 *** 作，输入用户名密码，直至出现认证失败提示；
3)  完成web认证 *** 作后，停止wireshark抓包，将抓取的报文保存成pcap文件；
4)  提交pcap报文时，请附带说明报文文件的来源（PC端、ePortal端、SAM端）以及来源的IP地址。

[global]

# ----------------------- Network Related Options-------------------------
#
# workgroup = NT-Domain-Name or Workgroup-Name, eg: MIDEARTH
#
# server string is the equivalent of the NT Description field
#
# netbios name can be used to specify a server name not tied to thehostname
#
# Interfaces lets you configure Samba to use multiple interfaces
# If you have multiple network interfaces then you can list the ones
# you want to listen on (never omit localhost)
#
# Hosts Allow/Hosts Deny lets you restrict who can connect, and you can
# specifiy it as a per share option as well
#
workgroup = MYGROUP
server string = Samba Server Version%v

; netbios name = MYSERVER

interfaces = lo eth0
hosts allow = 1921681
user map =/etc/samba/smbusermap
# --------------------------- Logging Options-----------------------------
#
# Log File let you specify where to put logs and how to split them up
#
# Max Log Size let you specify the max size log files should reach

# logs split per machine
log file = /var/log/samba/log%m
# max 50KB per log file, thenrotate
max log size = 50

# ----------------------- Standalone Server Options------------------------
#
# Scurity can be set to user, share(deprecated) or server(deprecated)
#
# Backend to store user information in New installations should
# use either tdbsam or ldapsam smbpasswd is available for backwards
# compatibility tdbsam requires no further configuration
security = user
passdb backend = tdbsam
# ----------------------- Domain Members Options ------------------------
#
# Security must be set to domain or ads
#
# Use the realm option only with security = ads
# Specifies the Active Directory realm the host is part of
#
# Backend to store user information in New installations should
# use either tdbsam or ldapsam smbpasswd is available for backwards
# compatibility tdbsam requires no further configuration
#
# Use password server option only with security = server or if you can't
# use the DNS to locate Domain Controllers
# The argument list may include:
# password server = My_PDC_Name[My_BDC_Name] [My_Next_BDC_Name]
# or to auto-locate the domain controller/s
# password server =
; security = domain
; passdb backend = tdbsam
; realm = MY_REALM
; password server =<NT-Server-Name>
# ----------------------- Domain Controller Options------------------------
#
# Security must be set to user for domain controllers
#
# Backend to store user information in New installations should
# use either tdbsam or ldapsam smbpasswd is available for backwards
# compatibility tdbsam requires no further configuration
#
# Domain Master specifies Samba to be the Domain Master Browser This
# allows Samba to collate browse lists between subnets Don't use this
# if you already have a Windows NT domain controller doing this job
#
# Domain Logons let Samba be a domain logon server for Windows workstations
#
# Logon Scrpit let yuou specify a script to be run at login time on theclient
# You need to provide it in a share called NETLOGON
#
# Logon Path let you specify where user profiles are stored (UNC path)
#
# Various scripts can be used on a domain controller or stand-alone
# machine to add or delete corresponding unix accounts
#
; security = user
; passdb backend = tdbsam

; domain master = yes
; domain logons = yes

# the login script name depends on themachine name
; logon script = %mbat
# the login script name depends on theunix user used
; logon script = %ubat
; logon path = \\%L\Profiles\%u
# disables profiles support byspecifing an empty path
; logon path =

; add user script = /usr/sbin/useradd"%u" -n -g users
; add group script = /usr/sbin/groupadd"%g"
; add machine script = /usr/sbin/useradd-n -c "Workstation (%u)" -M -d /nohome -s /bin/false"%u"
; delete user script = /usr/sbin/userdel"%u"
; delete user from group script =/usr/sbin/userdel "%u" "%g"
; delete group script =/usr/sbin/groupdel "%g"
# ----------------------- Browser Control Options----------------------------
#
# set local master to no if you don't want Samba to become a master
# browser on your network Otherwise the normal election rules apply
#
# OS Level determines the precedence of this server in master browser
# elections The default value should be reasonable
#
# Preferred Master causes Samba to force a local browser election onstartup
# and gives it a slightly higher chance of winning the election
; local master = no
; os level = 33
; preferred master = yes

#----------------------------- Name Resolution -------------------------------
# Windows Internet Name Serving Support Section:
# Note: Samba can be either a WINS Server, or a WINS Client, but NOT both
#
# - WINS Support: Tells the NMBD component of Samba to enable it's WINSServer
#
# - WINS Server: Tells the NMBD components of Samba to be a WINS Client
#
# - WINS Proxy: Tells Samba to answer name resolution queries on
# behalf of a non WINS capable client,for this to work there must be
# at least one WINS Server on the network The default is NO
#
# DNS Proxy - tells Samba whether or not to try to resolve NetBIOS names
# via DNS nslookups

; wins support = yes
; wins server = wxyz
; wins proxy = yes

; dns proxy = yes

# --------------------------- Printing Options-----------------------------
#
# Load Printers let you load automatically the list of printers rather
# than setting them up individually
#
# Cups Options let you pass the cups libs custom options, setting it toraw
# for example will let you use drivers on your Windows clients
#
# Printcap Name let you specify an alternative printcap file
#
# You can choose a non default printing system using the Printing option

load printers = no
cups options = raw
; printcap name = /etc/printcap
#obtain list of printers automaticallyon SystemV
; printcap name = lpstat
; printing = cups
# --------------------------- Filesystem Options---------------------------
#
# The following options can be uncommented if the filesystem supports
# Extended Attributes and they are enabled (usually by the mount option
# user_xattr) Thess options will let the admin store the DOS attributes
# in an EA and make samba not mess with the permission bits
#
# Note: these options can also be set just per share, setting them inglobal
# makes them the default for all shares
; map archive = no
; map hidden = no
; map read only = no
; map system = no
; store dos attributes = yes
#============================ Share Definitions==============================

[homes]
comment = Home Directories
browseable = no
writable = yes
; valid users = %S
; valid users = MYDOMAIN\%S
[sales]
comment = Home Directories
path=/var/samba/sales
browseable = no
writable = yes
; valid users = %S
; valid users = MYDOMAIN\%S
[finance]
comment = Home Directories
browseable = yes
path=/var/samba/finance
writable = yes
; valid users = %S
; valid users = MYDOMAIN\%S
[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes

# Un-comment the following and create the netlogon directory for DomainLogons
; [netlogon]
; comment = Network Logon Service
; path = /var/lib/samba/netlogon
; guest ok = yes
; writable = no
; share modes = no
# Un-comment the following to provide a specific roving profile share
# the default is to use the user's home directory
; [Profiles]
; path = /var/lib/samba/profiles
; browseable = no
; guest ok = yes
# A publicly accessible directory, but read only, except for people in
# the "staff" group
; [public]
; comment = Public Stuff
; path = /home/samba
; public = yes
; writable = yes
; printable = no
; write list = +staff

以上是smbconf内的配置。
增加用户和组，并设置好用户组的隶属关系。
用smbpasswd -a 增加smb访问密码。

---