RADIUS 身份验证疑难解答

确认组成员身份是否正确:

• 监视器标签 > 日志 > 系统
• 查找 "用户不在允许列表中"。

这意味着用户不在身份验证配置文件中选定的组中。

从 CLI 运行命令:

>> 显示用户泛型代理用户 id

通过键入 "/" 来搜索用户名, 然后用户名以验证帕洛阿尔托网络设备与用户的关联。

如果上述错误不适用, 则问题可能与 RADIUS 服务器有关。

一些常见的服务器问题包括:

• 在 RADIUS 服务器配置中输入了错误的 IP 地址。
• 共享机密是错误类型的。  请勿将密码粘贴到机密字段中。
• 在 RADIUS 服务器客户端配置中输入了错误的 IP 地址。
• 由于以下原因, Radius 服务器策略可能无效:
  • 错误的窗口组
  • NAS-IP 地址
  • Pap

事件查看器 > 系统日志中的 RADIUS 服务器上可以查看

Windows 2008 事件查看器–系统日志, IAS

如果在 PAN 的 Radius 服务器配置中使用了错误的 IP, 则会看到防火墙上系统日志中的以下内容:

使用以下 CLI 命令验证 "authd.log"

> 少 mp 日志 authd.log

如果共享机密不正确, 将在 Authd 日志中出现相同的错误消息。RADIUS server 2003 事件查看器中将显示类似以下内容的错误:

如果 Radius 服务器上的客户端配置中使用了错误的 IP 地址, 则 windows 事件查看器中将出现以下错误消息。

如果 RADIUS 服务器上的策略无效, 防火墙将显示上一个系统日志条目, 但 Authd.log 将有所不同:

如果错误的 windows 组、错误的 NAS IP 地址或未设置 PAP 身份验证, RADIUS 服务器上的事件查看器将显示以下错误。

成功的 Radius 验证

>> 监视器标签 > 日志 > 系统

> 少 mp 日志 authd.log

所有者: bnitz