RADIUS-Authentifizierung

RADIUS-Authentifizierung

90886
Created On 09/26/18 13:51 PM - Last Modified 06/05/23 20:35 PM


Resolution


Bestätigen, dass die Gruppenmitgliedschaft korrekt ist:

  • Monitor Tab > Logs > System
  • Suchen Sie nach "Benutzer ist nicht in der Allow-Liste".

Das bedeutet, dass der Benutzer nicht in der Gruppe ist, die im Authentifizierungs Profil ausgewählt wurde.

SS1.png

Aus dem CLI laufen der Befehl:

> Benutzer-Pan-Agent-User-IDs anzeigen

Suchen Sie nach dem Benutzernamen, indem Sie "/" tippen, dann den Benutzernamen, um zu überprüfen, mit welchen Gruppen das Palo Alto Networks-Gerät den Benutzer assoziiert.

Wenn der obige Fehler nicht zutrifft, ist das Problem mit dem RADIUS-Server wahrscheinlich.

Einige gängige Server-Probleme sind:

  • Die falsche IP-Adresse wird in der RADIUS-Server-Konfiguration eingegeben.
  • Das geteilte Geheimnis ist falsch getippt.  Fügen Sie das Passwort nicht in das geheime Feld ein.
  • Die falsche IP-Adresse wird in der RADIUS-Server-Client-Konfiguration eingegeben.
  • Die RADIUS-Server-Richtlinie kann ungültig sein, da:
    • Falsche Windows-Gruppe
    • NAS-IP-Adresse
    • Pap

Ereignisse können auf dem RADIUS-Server im Event Viewer > System Logs > IAS eingesehen werden.

SS2.png

Windows 2008 Event Viewer – System Logs, IAS

SS3.png

Wenn die falsche IP in der RADIUS-Server-Konfiguration auf der Pfanne verwendet wird, wird das folgende im System Protokoll auf der Firewall gesehen:

SS4.png

Verwenden Sie den folgenden CLI-Befehl, um das "authd. log" zu überprüfen.

> weniger mp-Log authd.log

SS5.png

Wenn das geteilte Geheimnis falsch ist, wird die gleiche Fehlermeldung in den authd-Protokollen sein. Ein Fehler, der dem folgenden ähnelt, wird im RADIUS Server 2003 Event Viewer sichtbar:

SS6.png

Wenn die falsche IP-Adresse in der Client-Konfiguration auf dem RADIUS-Server verwendet wird, werden die folgenden Fehlermeldungen im Windows-Event-Viewer angezeigt.

SS7.png

SS8.png

Die Firewall wird den vorherigen System-Log-Eintrag im Falle einer ungültigen Richtlinie auf dem RADIUS-Server anzeigen, aber das authd. log wird anders sein:

SS9.png

Wenn die falsche Windows-Gruppe, die falsche NAS-IP-Adresse oder die PAP-Authentifizierung nicht eingerichtet ist, wird der Event-Viewer auf dem RADIUS-Server die folgenden Fehler anzeigen.

SS10.png

SS11.png

SS12.png

Erfolgreiche RADIUS-Authentifizierung

> Monitor Tab > Logs > System

SS13.png

> weniger mp-Log authd.log

SS14.png

Besitzer: bnitz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluUCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language