服务器上使用的无客户端 GP 身份验证失败 EAP RAIDUS

服务器上使用的无客户端 GP 身份验证失败 EAP RAIDUS

18668
Created On 05/10/21 20:33 PM - Last Modified 08/13/21 21:43 PM


Symptom


  • GlobalProtect 无客户 VPN 配置通过扩展身份验证协议进行身份验证 ( EAP ) RADIUS
  • 证书错误时,看 的验证.log 从 Firewall CLI
2021-05-10 16:58:48.745 +0800 Error:  EapolStatusCb(pan_auth_eapol.c:998): (AId:6751996388145100014) Certificate error (unable to get local issuer certificate).
2021-05-10 16:58:48.745 +0800 Error:  EapolStatusCb(pan_auth_eapol.c:998): (AId:6751996388145100014) Certificate error (unknown CA).
2021-05-10 16:58:48.745 +0800 debug: mark_success(pan_auth_eapol.c:334): (AID:6751996388145100014) failed


 

Environment


  • PAN-OS
  • GlobalProtect 无客户端 VPN
  • 通过可扩展身份验证协议进行身份验证 ( EAP ) RADIUS
  • Windows 服务器 2008

Cause


无法 firewall 验证配置在 EAP 服务器上的证书 RADIUS 。

 


 

Resolution


验证 EAP 配置在服务器上的证书 RADIUS 是相同的配置在帕洛阿尔托 Firewall 。

Additional Information


可扩展身份验证协议 EAP () 支持 RADIUS


在 EAP Radius 服务器上安装可扩展身份验证协议的证书

policy www.entrust.com/knowledgebase/ssl/how-is-the-server-certificate-installed-on-microsoft-network-服务器-nps-窗口-2008-服务器

注:本文仅为信息目的编写。 帕洛阿尔托网络不支持任何第三方操作系统。
  1. 从第三方证书授权获取 Radius 服务器证书或从 firewall 。
  2. 在个人证书商店中安装证书,将私人钥匙安装到窗口机器上。
  3. 键入管理工具并打开它
  4. 打开网络 policy 服务器,
用户添加的图像
  1. 单击网络策略,并选择 policy 为用户身份验证创建的帕洛阿尔托 firewall 。 例子
用户添加的图像
  1. 右键单击属性,在下示例中右键单击 palo 并单击属性
  2. 点击"约束->验证方法

用户添加的图像
  1. 编辑微软:受保护 EAP ( PEAP )
  2. 选择当任何设备尝试访问此半径服务器时,此半径服务器应显示的正确服务器证书。

用户添加的图像
  1. 点击 OK
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM5rCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language