Cisco Merakiの統合のトラブルシューティング

一般的な証明書エラー

下のエラーが表示された場合、以下のいずれかの原因が考えられます。

説明

RADIUSを介したOktaとの相互運用のためのCisco Merakiの構成のとおりに正しく構成されているように見えます。しかし、WiFiまたはVPN接続が確立されません。

症状

RADIUSエージェント・ログのDEBUGレベルに次のログ・ステートメントが表示されます。
DEBUG - ...finished handshake - will transfer app data
次のエラー・コードのいずれかがサプリカント・ログに存在します。
0x80090349 (-2146892983 SEC_E_CERT_WRONG_USAGE)
0x80420101 (-2143158015 EAP_E_USER_CERT_INVALID)
次のエラー・メッセージの1つ以上がサプリカント・ログに存在します。
The user {user} dialed a connection named {connection-name} which has failed. The error code returned on failure is -2146892983.
Reason: Explicit Eap failure received Error: 0x80420101 EAP Reason: 0x80090349 EAP Root cause String: EAP Error: 0x80420101.

解決策

現在の証明書を新しく更新された証明書と置き換えます。
拡張キー使用法（EKU）の属性を調べて、必要に応じて更新します。

RADIUSエージェントでログ・レベルを設定するには：

テキスト・エディターを使用して、インストール・フォルダー
C:\Program Files (x86)\Okta\Okta RADIUS Agent\current\user\config\radius\からlog4j.propertiesファイルを開きます。
「info」の最後のインスタンスを
debug（詳細）またはtrace（非常に詳細）に変更します。
更新は次のようになります。
log4j.rootLogger=debug, app, stdout
or
log4j.rootLogger=trace, app, stdout
変更を保存してエディターを閉じます。

ログの調査やパケットのキャプチャを行うには：

Macの場合、接続試行中にログ情報を表示するには
コマンド・プロンプトで次のコマンドを実行します。
log show --predicate 'subsystem == "com.apple.eapol"'
WiFiアクセス・ポイントへの接続を試行します。
ログを調べます。次のような結果が得られます。
2019-04-10 15:38:53.868667-0400 0x1caacd Default 0x0 17296 0 eapolclient: [com.apple.eapol:Client] en0 START uid 501 gid 20 2019-04-10 15:38:54.062713-0400 0x1caacd Default 0x0 17296 0 eapolclient: [com.apple.eapol:Client] en0: 802.1X User Mode 2019-04-10 15:39:02.510875-0400 0x1caacd Default 0x0 17296 0 eapolclient: [com.apple.eapol:Client] en0 EAP-TTLS: successfully authenticated 2019-04-10 15:39:11.117972-0400 0x1caacd Default 0x0 17296 0 eapolclient: [com.apple.eapol:Client] en0 STOP
Merakiクラウド管理ダッシュボードで、[ネットワーク全体]に移動し、以下の[パケットのキャプチャ]または[イベント・ログ]のいずれかを選択します。

認証が行われる際のサプリカント/APとRADIUSサーバー間の通信には、大きく分けて3つの段階があります。