RADIUS認証のトラブルシューティング

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Troubleshooting RADIUS Authentication

https://live.paloaltonetworks.com/t5/Management-Articles/Troubleshooting-RADIUS-Authentication/ta-p/...

 

訳注:本文書にはPAN-OS 4.1以前の情報を元にした、2016年7月現在サポートされるPAN-OSでは該当しない記述が含まれます。

 

 

グループのメンバーシップが正しいことを確かめます。

  • [Monitor]タブ > [ログ] > [システム]
  • “user is not in allow list”がないか探してください。

 

これは該当のユーザーが選択されている認証プロファイルのグループにいないことを意味します。

ss1.png

 

CLIからは以下のコマンドで確認できます(訳注:現在サポートされるPAN-OSにはこのコマンドはありません)。

> show user pan-agent user-IDs

 

該当のユーザ名を"/"に次いでタイプしてサーチし、パロアルトネットワークスのデバイス上で、そのユーザーをどのグループに関連付けているか確認します。

 

上記のエラーに該当しない場合は、RADIUSサーバー側の可能性が考えられます。

 

よくあるサーバー関連の問題としては以下が有ります。

  • 誤ったIPアドレスがRADIUSサーバーの設定に入力されている。
  • 共有暗号鍵 (Shared Secret) のミスタイプ。シークレット フィールドにパスワードを貼付けしないでください。
  • 誤ったIPアドレスがRADIUSサーバーのクライアント設定に入力されている。
  • RADIUSサーバーのポリシーが以下で不正となっている。
    • 誤ったWindowsのグループ
    • NAS-IP アドレス
    • PAP

 

RADIUSサーバーのイベントは [Event Viewer] > [System]ログ > IASで確認ができます。

ss2.png

 

Windows 2008 のEvert ViewerのSystemログ、 IAS表示例ss3.png

 

誤ったIPアドレスがRADIUSサーバーの設定で使用されていた場合、以下のシステム ログの出力が確認できます。

ss4.png

 

CLIで以下のコマンドで"authd.log"(認証関連のログ)を確認できます。

> less mp-log authd.log

ss5.png

 

共有暗号鍵 (Shared Secret) が間違っている場合、同様のエラーがauthd.logに表示されます。RADIUSサーバー側でもエラーが確認でき、RADIUS server 2003では以下の様にEvent Viewerで表示されます。

ss6.png

誤ったIPアドレスがRADIUSサーバーのクライアント設定で使用されている場合、以下のエラーメッセージがEvent Viewerで確認できます。

ss7.png

ss8.png

 

不正なポリシーがRADIUSサーバーで設定されている場合、ファイアウォールではシステム ログのエントリーは先の事例と同様になりますが、authd.logの表示は異なったものとなります。 

ss9.png

 

誤ったWindowsグループ、誤ったNAS-IPアドレス、あるいはPAP認証が設定されていない場合、RADIUSサーバー上のEvent Viewerでは以下のエラーが表示されます。

ss10.png

ss11.png

ss12.png

 

RADIUS認証が成功した場合

 

> [Monitor]タブ > [ログ] > [システム]

ss13.png

 

> less mp-log authd.log

ss14.png

 

著者:bnitz