GPサーバーでの使用に失敗したクライアントレス認証 EAP RAIDUS

GPサーバーでの使用に失敗したクライアントレス認証 EAP RAIDUS

18726
Created On 05/10/21 20:33 PM - Last Modified 08/13/21 21:44 PM


Symptom


  • GlobalProtect クライアントレス VPN は、拡張認証プロトコル ( ) を介して認証するように構成 EAP されています。 RADIUS
  • 認証を見ると証明書エラーが発生.log Firewall CLI
2021-05-10 16:58:48.745 +0800 Error:  EapolStatusCb(pan_auth_eapol.c:998): (AId:6751996388145100014) Certificate error (unable to get local issuer certificate).
2021-05-10 16:58:48.745 +0800 Error:  EapolStatusCb(pan_auth_eapol.c:998): (AId:6751996388145100014) Certificate error (unknown CA).
2021-05-10 16:58:48.745 +0800 debug: mark_success(pan_auth_eapol.c:334): (AID:6751996388145100014) failed


 

Environment


  • PAN-OS
  • GlobalProtect クライアントレス VPN
  • 拡張認証プロトコル ( ) EAP による認証 RADIUS
  • Windows サーバー 2008 年

Cause


firewall EAP は、サーバーで構成されている証明書を検証できません RADIUS 。

 


 

Resolution


サーバで構成された証明書 EAP RADIUS がパロアルトで設定されている証明書と同じであることを確認 Firewall します。

Additional Information


拡張認証プロトコル ( EAP ) のサポート RADIUS


EAPRADIUS サーバーへの拡張認証プロトコル ( ) の証明書のインストール

www.entrust.com/knowledgebase/ssl/how-is-the-server-certificate-installed-on-microsoft-network- policy -server-nps-on-windows-2008-server

注: この資料は情報提供のみを目的として書かれています。 パロアルトネットワークスは、サードパーティ製のオペレーティングシステムをサポートしていません。
  1. Radius サーバー証明書をサード パーティの証明機関から取得するか、 からサーバー証明書を生成 firewall します。
  2. Windows マシンにローカルの個人証明書ストアの秘密キーを持つ証明書をインストールします。
  3. 管理ツールを入力して開く
  4. ネットワーク policy サーバーを開き、
ユーザー追加イメージ
  1. [ネットワーク ポリシー] をクリックし、 policy ユーザ認証用に作成された palo alto firewall を選択します。 例
ユーザー追加イメージ
  1. プロパティを右クリックし、以下の例でpaloを右クリックし、プロパティをクリックします
  2. 制約>認証方法をクリックします。

ユーザー追加イメージ
  1. マイクロソフトを編集する: 保護されている EAP ( PEAP )
  2. デバイスがこの RADIUS サーバーにアクセスしようとしたときに、この RADIUS サーバーが提示する正しいサーバー証明書を選択します。

ユーザー追加イメージ
  1. クリック OK
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM5rCAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language