Clientlose GP Authentifizierung fehler bei Verwendung EAP auf dem RAIDUS Server

Clientlose GP Authentifizierung fehler bei Verwendung EAP auf dem RAIDUS Server

18726
Created On 05/10/21 20:33 PM - Last Modified 08/23/21 18:05 PM


Symptom


  • GlobalProtect Clientlos VPN konfiguriert für die Authentifizierung über Extensible Authentication Protocol ( ) EAP für RADIUS
  • Zertifikatfehler beim Betrachten der authd.log aus dem Firewall CLI
2021-05-10 16:58:48.745 +0800 Error:  EapolStatusCb(pan_auth_eapol.c:998): (AId:6751996388145100014) Certificate error (unable to get local issuer certificate).
2021-05-10 16:58:48.745 +0800 Error:  EapolStatusCb(pan_auth_eapol.c:998): (AId:6751996388145100014) Certificate error (unknown CA).
2021-05-10 16:58:48.745 +0800 debug: mark_success(pan_auth_eapol.c:334): (AID:6751996388145100014) failed


 

Environment


  • PAN-OS
  • GlobalProtect Kundenlos VPN
  • Authentifizierung über Extensible Authentication Protocol ( EAP ) für RADIUS
  • WindowsServer 2008

Cause


Der firewall ist nicht in der Lage, das auf dem Server konfigurierte Zertifikat zu EAP RADIUS überprüfen.

 


 

Resolution


Stellen Sie sicher, dass das auf dem Server konfigurierte Zertifikat EAP RADIUS dasselbe ist, das auf dem Palo Alto konfiguriert Firewall ist.

Additional Information


Extensible Authentication Protocol ( EAP ) Unterstützung für RADIUS


Installieren des Zertifikats für ( EAP ) Extensible Authentication Protocol auf dem Radius-Server

policy www.entrust.com/knowledgebase/ssl/how-is-the-server-certificate-installed-on-microsoft-network--server-nps-on-windows-2008-server

Hinweis: Dieser Artikel dient ausschließlich zu Informationszwecken. Palo Alto Networks unterstützt keine Betriebssysteme von Drittanbietern.
  1. Holen Sie sich das Radius-Serverzertifikat entweder von der Zertifizierungsstelle des Drittanbieters oder generieren Sie das Serverzertifikat aus firewall .
  2. Installieren Sie das Zertifikat mit dem privaten Schlüssel im persönlichen Zertifikatspeicher lokal auf dem Windows-Computer.
  3. Geben Sie das Verwaltungstool ein und öffnen Sie es
  4. Öffnen Sie den policy Netzwerkserver,
Benutzeriertes Bild
  1. Klicken Sie auf Netzwerkrichtlinien und wählen Sie die policy für benutzerauthentifizierung für palo alto erstellte firewall aus. Beispiel
Benutzeriertes Bild
  1. Klicken Sie mit der rechten Maustaste auf Eigenschaften, im folgenden Beispiel mit der rechten Maustaste auf palo und klicken Sie auf Eigenschaften
  2. Klicken Sie auf Constraints->Authentifizierungsmethoden

Benutzeriertes Bild
  1. Bearbeiten Sie Microsoft: Protected EAP ( PEAP )
  2. Wählen Sie das richtige Serverzertifikat aus, das dieser Radiusserver aufweisen soll, wenn ein Gerät versucht, auf diesen Radiusserver zuzugreifen.

Benutzeriertes Bild
  1. Auf OK
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM5rCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language