Dépannage de l'authentification RADIUS
Resolution
Confirmez que l'appartenance au groupe est correcte:
- Onglet moniteur > logs > système
- Recherchez "l'utilisateur n'est pas dans la liste d'autoriser".
Cela signifie que l'utilisateur n'est pas dans le groupe sélectionné dans le profil d'authentification.
À partir de l'interface CLI, exécutez la commande:
> afficher l'utilisateur Pan-agent User-IDS
Recherchez le nom d'utilisateur en tapant "/" puis le nom d'usager pour vérifier avec quels groupes l'appareil de Palo Alto Networks associe l'utilisateur.
Si l'erreur ci-dessus ne s'applique pas, le problème est probable avec le serveur RADIUS.
Quelques problèmes courants de serveur incluent:
- La mauvaise adresse IP est entrée dans la configuration du serveur RADIUS.
- Le secret partagé est mal typé. Ne collez pas le mot de passe dans le champ secret.
- La mauvaise adresse IP est entrée dans la configuration du client RADIUS Server.
- La stratégie de serveur RADIUS peut être invalide en raison de:
- Mauvais groupe Windows
- NAS-adresse IP
- Pap
Les événements peuvent être affichés sur le serveur RADIUS dans l'observateur d'événements > système logs > IAS
Visionneuse d'événements Windows 2008 – journaux système, IAS
Si la mauvaise adresse IP est utilisée dans la configuration du serveur RADIUS sur le Pan, les éléments suivants dans le journal système du pare-feu sont visibles:
Utilisez la commande CLI suivante pour vérifier le "authd. log"
> moins authd.log mp-Journal
Si le secret partagé est incorrect, le même message d'erreur se trouve dans les journaux authd. Une erreur semblable à la suivante sera visible dans l'observateur d'événements RADIUS Server 2003:
Si la mauvaise adresse IP est utilisée dans la configuration client sur le serveur RADIUS, les messages d'erreur suivants se trouvent dans l'observateur d'événements Windows.
Le pare-feu affichera l'entrée du journal système précédente en cas de stratégie non valide sur le serveur RADIUS, mais le journal authd. sera différent:
Si le mauvais groupe Windows, l'adresse NAS-IP erronée ou si l'authentification PAP n'est pas configurée, l'observateur d'événements sur le serveur RADIUS affiche les erreurs suivantes.
Authentification RADIUS réussie
> Onglet moniteur > logs > système
> moins authd.log mp-Journal
propriétaire: bnitz