Échec GP de l’authentification sans client à l’aide EAP de sur le RAIDUS serveur

Échec GP de l’authentification sans client à l’aide EAP de sur le RAIDUS serveur

18732
Created On 05/10/21 20:33 PM - Last Modified 08/23/21 18:05 PM


Symptom


  • GlobalProtect Clientless VPN configuré pour s’authentifier via extensible Authentication Protocol ( EAP ) pour RADIUS
  • Erreur de certificat lors de l’affichage de l'.log de l’authd à partir de la Firewall CLI
2021-05-10 16:58:48.745 +0800 Error:  EapolStatusCb(pan_auth_eapol.c:998): (AId:6751996388145100014) Certificate error (unable to get local issuer certificate).
2021-05-10 16:58:48.745 +0800 Error:  EapolStatusCb(pan_auth_eapol.c:998): (AId:6751996388145100014) Certificate error (unknown CA).
2021-05-10 16:58:48.745 +0800 debug: mark_success(pan_auth_eapol.c:334): (AID:6751996388145100014) failed


 

Environment


  • PAN-OS
  • GlobalProtect Sans client VPN
  • Authentification via extensible Authentication Protocol ( EAP ) pour RADIUS
  • Windows Server 2008

Cause


Le firewall n’est pas en mesure de valider le certificat configuré pour EAP sur le RADIUS serveur.

 


 

Resolution


Vérifiez que le certificat configuré pour EAP sur le serveur est le même que celui configuré sur le Palo RADIUS Firewall Alto.

Additional Information


Prise en charge du protocole d’authentification extensible ( EAP ) pour RADIUS


Installation du certificat pour ( EAP ) Extensible Authentication Protocol sur le serveur Radius

www.entrust.com/knowledgebase/ssl/how-is-the-server-certificate-installed-on-microsoft-network- policy -server-nps-on-windows-2008-server

Remarque : Cet article est écrit à titre d’information uniquement. Palo Alto Networks ne prend en charge aucun système d’exploitation tiers.
  1. Obtenez le certificat de serveur Radius de l’autorité de certification tierce ou générez le certificat de serveur à partir du firewall .
  2. Installez le certificat avec la clé privée dans le magasin de certificats personnel local sur l’ordinateur Windows.
  3. Tapez l’outil d’administration et ouvrez-le
  4. Ouvrez le policy serveur réseau,
Image ajoutée par l'utilisateur
  1. Cliquez sur Stratégies réseau et sélectionnez policy l’authentification de l’utilisateur créé pour palo alto firewall . Exemple
Image ajoutée par l'utilisateur
  1. Faites un clic droit sur les propriétés, dans l’exemple ci-dessous, faites un clic droit sur palo et cliquez sur propriétés
  2. Cliquez sur Contraintes-> Méthodes d’authentification

Image ajoutée par l'utilisateur
  1. Modifier le Microsoft: Protégé EAP ( PEAP )
  2. Sélectionnez le certificat de serveur correct que ce serveur de rayon devrait présenter quand n’importe quel périphérique essaye d’accéder à ce serveur de rayon.

Image ajoutée par l'utilisateur
  1. Cliquez sur OK
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM5rCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language