Dépannage de l'authentification RADIUS

Dépannage de l'authentification RADIUS

90890
Created On 09/26/18 13:51 PM - Last Modified 06/05/23 20:35 PM


Resolution


Confirmez que l'appartenance au groupe est correcte:

  • Onglet moniteur > logs > système
  • Recherchez "l'utilisateur n'est pas dans la liste d'autoriser".

Cela signifie que l'utilisateur n'est pas dans le groupe sélectionné dans le profil d'authentification.

SS1.png

À partir de l'interface CLI, exécutez la commande:

> afficher l'utilisateur Pan-agent User-IDS

Recherchez le nom d'utilisateur en tapant "/" puis le nom d'usager pour vérifier avec quels groupes l'appareil de Palo Alto Networks associe l'utilisateur.

Si l'erreur ci-dessus ne s'applique pas, le problème est probable avec le serveur RADIUS.

Quelques problèmes courants de serveur incluent:

  • La mauvaise adresse IP est entrée dans la configuration du serveur RADIUS.
  • Le secret partagé est mal typé.  Ne collez pas le mot de passe dans le champ secret.
  • La mauvaise adresse IP est entrée dans la configuration du client RADIUS Server.
  • La stratégie de serveur RADIUS peut être invalide en raison de:
    • Mauvais groupe Windows
    • NAS-adresse IP
    • Pap

Les événements peuvent être affichés sur le serveur RADIUS dans l'observateur d'événements > système logs > IAS

SS2.png

Visionneuse d'événements Windows 2008 – journaux système, IAS

SS3.png

Si la mauvaise adresse IP est utilisée dans la configuration du serveur RADIUS sur le Pan, les éléments suivants dans le journal système du pare-feu sont visibles:

SS4.png

Utilisez la commande CLI suivante pour vérifier le "authd. log"

> moins authd.log mp-Journal

SS5.png

Si le secret partagé est incorrect, le même message d'erreur se trouve dans les journaux authd. Une erreur semblable à la suivante sera visible dans l'observateur d'événements RADIUS Server 2003:

SS6.png

Si la mauvaise adresse IP est utilisée dans la configuration client sur le serveur RADIUS, les messages d'erreur suivants se trouvent dans l'observateur d'événements Windows.

SS7.png

SS8.png

Le pare-feu affichera l'entrée du journal système précédente en cas de stratégie non valide sur le serveur RADIUS, mais le journal authd. sera différent:

SS9.png

Si le mauvais groupe Windows, l'adresse NAS-IP erronée ou si l'authentification PAP n'est pas configurée, l'observateur d'événements sur le serveur RADIUS affiche les erreurs suivantes.

SS10.png

SS11.png

SS12.png

Authentification RADIUS réussie

> Onglet moniteur > logs > système

SS13.png

> moins authd.log mp-Journal

SS14.png

propriétaire: bnitz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluUCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language