问题描述

在客户局点为接入层设备S5700-52P-LI-AC做预配置，配置完成后客户要求修改维护账号huawei的密码为该局点专用密码。修改前AAA下配置如下：

aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password irreversible-cipher %^%#-U,XHxP.jE~z,</(mMHT05)_D0*1AL8u#}&b4G/UE8~dOVbWRX3KpEJ9z.=P%^%#
 local-user admin service-type terminal http
 local-user huawei password irreversible-cipher %^%#Wl5'ZUA%qMC3/K5XsAdNZNKHDi:>>N9-AG#%70r-dTpa3${/UJgftQ0.!goH%^%#
 local-user huawei privilege level 15
 local-user huawei service-type telnet terminal ssh

按客户要求修改AAA下账号名为huawei的密码为新密码，操作记录如下：

[LSW-S5700-1-aaa]local-user huawei password cipher Xxxxxx@1234（为保密使用X代替）
Error: The user of this service-type is not allowed to use a reversible encryption algorithm.
[LSW-S5700-1-aaa]

如上，修改密码时设备报错，修改失败。

 告警信息

设备修改账号密码时报错信息如下：

Error: The user of this service-type is not allowed to use a reversible encryption algorithm.

 处理过程

经排查，密码复杂度符合要求，报错也不属于复杂度问题。

Error: The user of this service-type is not allowed to use a reversible encryption algorithm.

此条报错翻译如下：

错误:该服务类型的用户不允许使用可逆转的加密算法

分析报错内容，指的不是当前huawei账号不能修改密码，是说当前登录的账号的登录模式不允许进行修改密码操作。

查看全局配置，发现以下内容：

aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password irreversible-cipher %^%#G=E6Ocy_`"7Eaf=;8nE5jMfe7T\9RP.HVO$%8KW"W&dB$Rrax;tQG~,]v'-D%^%#
 local-user admin service-type http
 local-user huawei password irreversible-cipher %^%#X^J9Ru)yoDcxj5MC)jF1/IkbBgb/TF,5Jt0fb>F+(o$PC=WKO96HFzD"n|6#%^%#
 local-user huawei privilege level 15
 local-user huawei service-type telnet terminal ssh

user-interface con 0
 authentication-mode aaa
user-interface vty 0 4
 authentication-mode aaa
 user privilege level 15
 protocol inbound all

可看出，在前期刷配置模板时，已经配置了con 0下使用AAA认证，且huawei账号密码模式为加密的认证模式。根据报错内容，应该是因为当前登录用户属于加密登录，再去修改此用户密码，是不允许的。导致修改失败。

根据分析结果做以下配置：

[LSW-S5700-1]user-interface co
[LSW-S5700-1]user-interface console 0
[LSW-S5700-1-ui-console0]undo authentication-mode

删除con下认证模式，因当前登录con口使用了密码加密的huawei账号，所以退出当前设备，重新使用为未认证的con直接登录设备。

重新在AAA下修改huawei账号的密码。

[LSW-S5700-1-aaa]local-user huawei password cipher Xxxxxx@1234
[LSW-S5700-1-aaa]

回显显示命令生效，不再报错，问题解决。

 根因

因先刷的配置，再用配置好的加密账号去登录设备，当客户要求再修改密码时，当前加密环境不允许修改密码导致。

 解决方案

使用不带认证的con口登录设备，无此限制和报错。

 建议与总结

配置报错时要仔细分析报错的翻译内容，根据报错内容分析可能的根因。