Radius 認証エラーのトラブルシューティング方法

Radius サーバーが構成されている場合の認証失敗メッセージをトラブルシューティングするには。

• パロアルトFirewallまた Panorama
• 対応 PAN-OS
• Radius 認証

1. システム ログ メッセージを確認して、認証の失敗を確認します (CLI "ログシステムを表示"またGUI:監視 > ログ > システム)
2. 通常、メッセージは「認証に失敗しました」を示します

User 'TESTCORP\xxxxxx' failed authentication. Reason: Invalid username/password From:x.y.m.n.

3. authd.log を開きます (少ない mp-log authd.log ）同時にログを確認します。

debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxxxx
debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP
debug: pan_authd_radius_parse_resp_payload(pan_authd_radius.c:285): resp_code = RAD_ACCESS_REJECT
debug: pan_auth_service_recv_response(pan_auth_service_handle.c:1612): Got response for user: "t118009"
Error: pan_rad_process_response(pan_authd_radius_prot.c:255): Invalid RADIUS response received - Bad MD5, it might be caused by mismatched shared secret between server profile and remote RADIUS server

4. メッセージが「RAD_ACCESS_REJECT」の後に「悪い MD5 "、一般的には間違った共有秘密です。 共有シークレットを修正して問題を解決してください。
5. メッセージが「RAD_ACCESS_REJECT」の後に「ユーザーの PAN_AUTH_FAILURE 認証応答"、通常、パスワードまたはリモート ダイヤルイン アクセスは許可されません

debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1829): Authenticating user "xxxxx" with <profile: "XYX_Radius", vsys: "vsys1">
debug: _retrieve_svr_ids(pan_auth_service.c:648): find auth server id vector for XYX_Radius-vsys1
debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxxx
debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP
debug: pan_authd_radius_parse_resp_payload(pan_authd_radius.c:285): resp_code = RAD_ACCESS_REJECT
debug: pan_auth_service_recv_response(pan_auth_service_handle.c:1583): Got response for user: "xxxxx"
debug: pan_auth_response_process(pan_auth_state_engine.c:4298): auth status: auth failed
debug: pan_auth_incr_failed_attempt(pan_authd_db.c:171): increase failed attempt for user: admin
debug: pan_auth_response_process(pan_auth_state_engine.c:4477): Authentication failed: <profile: "XYX_Radius", vsys: "vsys1", username "xxxxx">
failed authentication for user 'admin'. Reason: Invalid username/password. auth profile 'XYX_Radius', vsys 'vsys1', server profile 'XYX_RAD_Servers', server address '10.90.X.T', auth protocol 'PAP', From: 10.92.M.N.
debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_FAILURE auth response for user 'xxxxx' (exp_in_days=-1 (-1 never; 0 within a day))(authd_id: 6795007509200667545) (return domain 'corp')

6. パスワードが正しい場合は、確認してくださいADサーバー権限：下Active Directory ユーザーとコンピューター、ユーザーのプロパティ内およびダイアルインタブ > アクセスを許可: