問題描述

在客戶局點為接入層裝置S5700-52P-LI-AC做預配置，配置完成後客戶要求修改維護賬號huawei的密碼為該局點專用密碼。修改前AAA下配置如下：

aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password irreversible-cipher %^%#-U,XHxP.jE~z,</(mMHT05)_D0*1AL8u#}&b4G/UE8~dOVbWRX3KpEJ9z.=P%^%#
 local-user admin service-type terminal http
 local-user huawei password irreversible-cipher %^%#Wl5'ZUA%qMC3/K5XsAdNZNKHDi:>>N9-AG#%70r-dTpa3${/UJgftQ0.!goH%^%#
 local-user huawei privilege level 15
 local-user huawei service-type telnet terminal ssh

按客戶要求修改AAA下賬號名為huawei的密碼為新密碼，操作記錄如下：

[LSW-S5700-1-aaa]local-user huawei password cipher [email protected]（為保密使用X代替）
Error: The user of this service-type is not allowed to use a reversible encryption algorithm.
[LSW-S5700-1-aaa]

如上，修改密碼時裝置報錯，修改失敗。

 告警資訊

裝置修改賬號密碼時報錯資訊如下：

Error: The user of this service-type is not allowed to use a reversible encryption algorithm.

 處理過程

經排查，密碼複雜度符合要求，報錯也不屬於複雜度問題。

Error: The user of this service-type is not allowed to use a reversible encryption algorithm.

此條報錯翻譯如下：

錯誤:該服務型別的使用者不允許使用可逆轉的加密演算法

分析報錯內容，指的不是當前huawei賬號不能修改密碼，是說當前登入的賬號的登入模式不允許進行修改密碼操作。

檢視全域性配置，發現以下內容：

aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password irreversible-cipher %^%#G=E6Ocy_`"7Eaf=;8nE5jMfe7T\9RP.HVO$%8KW"W&dB$Rrax;tQG~,]v'-D%^%#
 local-user admin service-type http
 local-user huawei password irreversible-cipher %^%#X^J9Ru)yoDcxj5MC)jF1/IkbBgb/TF,5Jt0fb>F+(o$PC=WKO96HFzD"n|6#%^%#
 local-user huawei privilege level 15
 local-user huawei service-type telnet terminal ssh

user-interface con 0
 authentication-mode aaa
user-interface vty 0 4
 authentication-mode aaa
 user privilege level 15
 protocol inbound all

可看出，在前期刷配置模板時，已經配置了con 0下使用AAA認證，且huawei賬號密碼模式為加密的認證模式。根據報錯內容，應該是因為當前登入使用者屬於加密登入，再去修改此使用者密碼，是不允許的。導致修改失敗。

根據分析結果做以下配置：

[LSW-S5700-1]user-interface co
[LSW-S5700-1]user-interface console 0
[LSW-S5700-1-ui-console0]undo authentication-mode

刪除con下認證模式，因當前登入con口使用了密碼加密的huawei賬號，所以退出當前裝置，重新使用為未認證的con直接登入裝置。

重新在AAA下修改huawei賬號的密碼。

[LSW-S5700-1-aaa]local-user huawei password cipher [email protected]
[LSW-S5700-1-aaa]

回顯顯示命令生效，不再報錯，問題解決。

 根因

因先刷的配置，再用配置好的加密賬號去登入裝置，當客戶要求再修改密碼時，當前加密環境不允許修改密碼導致。

 解決方案

使用不帶認證的con口登入裝置，無此限制和報錯。

 建議與總結

配置報錯時要仔細分析報錯的翻譯內容，根據報錯內容分析可能的根因。