RADIUS 身份验证疑难解答
90900
Created On 09/26/18 13:51 PM - Last Modified 06/05/23 20:35 PM
Resolution
确认组成员身份是否正确:
- 监视器标签 > 日志 > 系统
- 查找 "用户不在允许列表中"。
这意味着用户不在身份验证配置文件中选定的组中。
从 CLI 运行命令:
>> 显示用户泛型代理用户 id
通过键入 "/" 来搜索用户名, 然后用户名以验证帕洛阿尔托网络设备与用户的关联。
如果上述错误不适用, 则问题可能与 RADIUS 服务器有关。
一些常见的服务器问题包括:
- 在 RADIUS 服务器配置中输入了错误的 IP 地址。
- 共享机密是错误类型的。 请勿将密码粘贴到机密字段中。
- 在 RADIUS 服务器客户端配置中输入了错误的 IP 地址。
- 由于以下原因, Radius 服务器策略可能无效:
- 错误的窗口组
- NAS-IP 地址
- Pap
事件查看器 > 系统日志中的 RADIUS 服务器上可以查看
Windows 2008 事件查看器–系统日志, IAS
如果在 PAN 的 Radius 服务器配置中使用了错误的 IP, 则会看到防火墙上系统日志中的以下内容:
使用以下 CLI 命令验证 "authd.log"
> 少 mp 日志 authd.log
如果共享机密不正确, 将在 Authd 日志中出现相同的错误消息。RADIUS server 2003 事件查看器中将显示类似以下内容的错误:
如果 Radius 服务器上的客户端配置中使用了错误的 IP 地址, 则 windows 事件查看器中将出现以下错误消息。
如果 RADIUS 服务器上的策略无效, 防火墙将显示上一个系统日志条目, 但 Authd.log 将有所不同:
如果错误的 windows 组、错误的 NAS IP 地址或未设置 PAP 身份验证, RADIUS 服务器上的事件查看器将显示以下错误。
成功的 Radius 验证
>> 监视器标签 > 日志 > 系统
> 少 mp 日志 authd.log
所有者: bnitz