RADIUSの一般的な問題

RADIUSの一般的な問題をトラブルシュート

項目

RADIUS Serverエージェントがインストールされない

  • Okta RADIUSをサポートするWindowsまたはLinuxバージョンにインストールしようとしているか確認します。
  • Okta RADIUS Agentは、次のバージョンのWindowsサーバーにインストールできます。

    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019

    Windowsバージョン2008、2008 R2、および2003 R2はサポートされていません。

    Okta RADIUS Agentは、次のLinuxバージョンでテストされています。

    • Red Hat Enterprise Linuxリリース8.0、8.3
    • CentOS 7.6
    • Ubuntu 18.04.4、20.04.1 LTS
  • インストーラーの“Production”下のサブドメインではなく、“Custom”下のOkta完全Okta URLを使用します。
  • プロキシ サーバーの存在を確認します。RADIUS Serverエージェント インストーラーはプロキシを区別します。
  • Palo AltoやFireEye など、SSLインターセプト デバイスを確認します。これは証明書ピン留めと関連し、すべてのエージェントに影響します。
  • ローカルマシンの問題を排除するため、別のサーバーを環境で試します。
  • c:\program files (x86)\Okta\Okta RADIUS\下に以前に失敗したインストールのファイルが残っていないか確認します。
  • Windows services.msc を確認し、以前のインストールから不良Okta RADIUSサービスが残っていないか確認します(稀)。
  • 最新のEAバージョンなど、別のバージョンのRADIUS Serverエージェントを試します。

VPNデバイスがRADIUS Serverエージェントにつながらない

  • RADIUS Serverエージェントは実行しているが、RADIUSクライアント デバイスがつながりません(注:失敗ログインとは別)
  • C:\Program Files (x86)\Okta\Okta RADIUS Agent\current\logs\下のOkta RADIUSログを確認し、接続が確立されているか確認します。失敗した接続であってもすべて表示されます。
  • VPNデバイスに入力したサーバー名/サーバーIPを再確認し、正しく入力されているか確認します。
  • Okta RADIUS ServerエージェントでWindowsファイアウォール のステータスを検証し、接続がブロックされていないか確認します。
  • VPNデバイスとサーバーが互いにpingでリーチできるか検証するか、またはネットワーク管理者に依頼してネットワーク接続を検証します。
  • ホスト名の代わりにIPアドレスを使用してRADIUSサーバーを構成します。DNSが制限され、ホスト名が解決できないネットワークがあります。
  • ネットワーク層の問題がネットワーク エンジニアとの接続を妨害していないか判断します(ここでNTRADPingが役立ちます)。

正しい資格情報で認証に失敗する

  • RADIUS Serverエージェントが有効なログイン試行を拒否しています。
  • ユーザーがOktaでRADIUSアプリに割り当てられていることを確認します。
  • ユーザーがMFAに登録されているか確認します。
  • Okta RADIUS ServerエージェントとVPNデバイスの両方で共有シークレットを確認します。一致しないとすべての認証が失敗します。
  • ローカルRADIUSログを確認します。
  • また、APIトークンが期限切れであることを示すエラーがないか確認します。
  • ユーザーが「bob」と送信したがログに「Á」と表示されているように、正しくない形式のユーザー名がログに表示されている場合、サーバーはMSCHAPv2を使用してユーザー名をエンコードしていることが示唆されます。VPNデバイス構成を確認してPAP認証のみが有効化されていることを確認します。
  • Okta syslogを確認して接続が拒否された理由を探します。
  • VPNデバイスを確認してログインを制限する設定がないか確認します。

ユーザーが指定する要素の入力を求められない

  • サーバーまたはクライアントがRADUISチャレンジをサポートしていません。
  • OpenVPNサーバーがRADIUSチャレンジをサポートしているが、それに含まれるフリー クライアントがこの方式をサポートしないために失敗します。
  • 一部のバージョンのCisco AnyConnect VPNクライアントはチャレンジに問題があります。 問題は散発的で、通常は最新バージョンにアップグレードすると修正されます。
  • バージョン5.1よりも前のVMWare ViewはRADUISチャレンジをサポートしません。
  • これは、AD/LDAP認証でペアリングされていない限り二要素認証に関しては適用外です。これは問題になる場合とならない場合があります。
  • 二要素認証(MFAで第二要素のみを使用する)については「Okta RADUISアプリの使用」を参照してください。

RADIUSエージェントのconfig.propertiesの変更が有効にならない

  • RADIUSエージェントのconfig.properties ファイルに変更が加えられたが、これらの変更がRADIUS エージェントに反映されません。
  • config.properties ファイルに変更を加えた後、RADIUSエージェントを再起動する必要があります。
  • Okta orgで関連アプリに加えられた変更については、エージェントの再起動は不要です。
    ただし、エージェントがアップデートされた構成を取得するまでに数分の時間がかかります。
  • RADUISエージェントのプロパティについては、Okta RADIUSサーバーエージェントのWindowsへのインストールおよび設定の「追加のプロパティ」セクションを参照してください。