为什么管理员禁用Microsoft AD域帐号后终端用户依然能够使用该帐号通过Portal认证？

为什么管理员禁用Microsoft AD域帐号后终端用户依然能够使用该帐号通过Portal认证？

现象描述

终端接入控制方案采用MAC优先的Portal认证方案，终端用户使用的帐号为Microsoft AD域帐号接入网络。

终端用户在便携机尝试接入无线网络，使用Microsoft AD域帐号tony通过Portal认证后，把便携机移出无线网络信号覆盖区。

管理员在Microsoft AD域控制器禁用了帐号tony之后，终端用户携带便携机重新进入无线网络信号覆盖区。管理员发现终端用户依然能够通过Portal认证，禁用Microsoft AD域帐号操作未生效。

可能原因

在终端用户使用外部数据源作为帐号的情况下，帐号状态（启用或禁用）没有保存在业务管理器。

在启用MAC优先的Portal认证的场景下，如果tony已经处于在线状态，终端的MAC地址和SSID保存在RADIUS服务器。当便携机移出再进入无线网络信号覆盖区时，AC主动触发MAC优先的Portal认证，向RADIUS服务器发起MAC认证，tony帐号状态无法得到校验。故会导致管理员禁用Microsoft AD域帐号后，终端用户依然能够使用该帐号通过Portal认证。

处理步骤

在终端用户使用外部数据源（帐号源自Microsoft AD域控制器或LDAP服务器）作为帐号的情况下同时启用MAC优先的Portal认证，在外部数据源禁用帐号无法禁止终端用户使用该帐号通过Portal认证。

如果需要降低禁用外部数据源帐号还能通过Portal认证的风险，请不要在“系统 > 终端参数配置 > 全局参数”启用MAC优先的Portal认证，或者在“MAC优先的Portal认证”适当缩短MAC地址的有效时间

Huawei Agile Controller（列表、list、全）华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html