Problembehandlung bei Radius-Authentifizierungsfehlern

So beheben Sie Authentifizierungsfehlermeldungen, wenn Radius Server konfiguriert ist.

• Palo Alto Firewall oder Panorama
• Unterstützt PAN-OS
• Radius-Authentifizierung

1. Überprüfen Sie die Systemprotokollmeldungen, um den Authentifizierungsfehler zu bestätigen ("CLIShow Log System" oder GUI: Monitor > Logs > System)
2. Im Allgemeinen weisen die Meldungen auf "fehlgeschlagene Authentifizierung" hin.

User 'TESTCORP\xxxxxx' failed authentication. Reason: Invalid username/password From:x.y.m.n.

3. Öffnen Sie die authd.log (weniger mp-log authd.log) und überprüfen Sie gleichzeitig die Protokolle.

debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxxxx
debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP
debug: pan_authd_radius_parse_resp_payload(pan_authd_radius.c:285): resp_code = RAD_ACCESS_REJECT
debug: pan_auth_service_recv_response(pan_auth_service_handle.c:1612): Got response for user: "t118009"
Error: pan_rad_process_response(pan_authd_radius_prot.c:255): Invalid RADIUS response received - Bad MD5, it might be caused by mismatched shared secret between server profile and remote RADIUS server

4. Wenn die Nachrichten "RAD_ACCESS_REJECT" gefolgt von "Bad MD5" anzeigen, handelt es sich in der Regel um den falschen gemeinsamen geheimen Schlüssel. Korrigieren Sie den gemeinsamen geheimen Schlüssel, um das Problem zu beheben.
5. Wenn in den Meldungen "RAD_ACCESS_REJECT" gefolgt von "PAN_AUTH_FAILURE Authentifizierungsantwort für Benutzer" angezeigt wird, wird das Kennwort oder der Remote-Einwahlzugriff im Allgemeinen nicht gewährt.

debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1829): Authenticating user "xxxxx" with <profile: "XYX_Radius", vsys: "vsys1">
debug: _retrieve_svr_ids(pan_auth_service.c:648): find auth server id vector for XYX_Radius-vsys1
debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxxx
debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP
debug: pan_authd_radius_parse_resp_payload(pan_authd_radius.c:285): resp_code = RAD_ACCESS_REJECT
debug: pan_auth_service_recv_response(pan_auth_service_handle.c:1583): Got response for user: "xxxxx"
debug: pan_auth_response_process(pan_auth_state_engine.c:4298): auth status: auth failed
debug: pan_auth_incr_failed_attempt(pan_authd_db.c:171): increase failed attempt for user: admin
debug: pan_auth_response_process(pan_auth_state_engine.c:4477): Authentication failed: <profile: "XYX_Radius", vsys: "vsys1", username "xxxxx">
failed authentication for user 'admin'. Reason: Invalid username/password. auth profile 'XYX_Radius', vsys 'vsys1', server profile 'XYX_RAD_Servers', server address '10.90.X.T', auth protocol 'PAP', From: 10.92.M.N.
debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_FAILURE auth response for user 'xxxxx' (exp_in_days=-1 (-1 never; 0 within a day))(authd_id: 6795007509200667545) (return domain 'corp')

6. Wenn das Kennwort korrekt ist, Überprüfen Sie die Serverberechtigung: Überprüfen Sie AD unter Active Directory-Benutzer und -Computer in den Eigenschaften des Benutzers und auf der Registerkarte Einwahl> Zugriff zulassen :