RADIUSのよくある問題および懸念事項
RADIUS Serverエージェントがインストールされない
解決策は次のとおりです。
- Okta RADIUSでサポートされているWindowsまたはLinuxバージョンのいずれかにインストールしていることを確認します。
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Red Hat Enterprise Linuxリリース8.0、8.3
- CentOS 7.6
- Ubuntu 18.04.4、20.04.1 LTS
- インストーラーの「Production」の下のサブドメインだけでなく、「Custom」の下の完全なOkta URLを使用します。
- プロキシサーバーの有無を確認します。RADIUS Serverエージェントインストーラーはプロキシの影響を受けます。
- Palo AltoやFireEyeなどのSSL傍受デバイスを確認します。これは証明書のピン留めに関連し、すべてのエージェントに影響します。
- ローカルマシンの問題を排除するために、環境内で別のサーバーを試してください。
- 以前に失敗したインストールで残ったファイルがc:\program files (x86)\Okta\Okta RADIUS\の下にないことを確認します。
- Windowsのservices.mscをチェックして、以前のインストールで問題のあるOkta RADIUSサービスが残っていないか確認します(残っていることはほとんどありません)。
- 最新のEAバージョンなど、別のバージョンのRADIUS Server Agentを試してください。
Okta RADIUS Agentは、次のバージョンのWindowsサーバーにインストールできます。
Windowsバージョン2008、2008 R2、および2003 R2はサポートされていません。
Okta RADIUS Agentは、次のLinuxバージョンでテストされています。
VPNデバイスがRADIUS Serverエージェントに到達できない
RADIUS Serverエージェントは実行されているが、RADIUSクライアントデバイスがエージェントに到達できません。(サインイン試行の失敗とは異なります)。
- C:\Program Files (x86)\Okta\Okta RADIUS Agent\current\logs\にあるOkta RADIUSのログを確認し、接続が確立されているか確認します。失敗した接続も含め、すべての接続が表示されます。
- VPNデバイスに入力したサーバー名/サーバーIPを再確認し、正しく入力していることを確認します。
- Okta RADIUS ServerエージェントでWindowsファイアウォール のステータスを検証し、接続がブロックされていないか確認します。
- VPNデバイスとサーバーがping経由で相互に到達できることを確認するか、ネットワーク管理者にネットワーク接続の確認を依頼します。
- ホスト名の代わりにIPアドレスを使用してRADIUSサーバーを構成します。ネットワークによってはDNSが制限され、ホスト名が解決されない場合があります。
- ネットワーク層の問題がネットワークエンジニアとの接続を妨げているかどうかを判断します(NTRADPingが役立ちます)。
認証情報は正しいのに認証に失敗する
可能な解決策:
- RADIUS Server Agentが有効なログイン試行を拒否しています。
- OktaでユーザーがRADIUSアプリに割り当てられていることを確認します。
- ユーザーがMFAに登録されていることを確認します。
- Okta RADIUS ServerエージェントとVPNデバイスの両方で共有シークレットを確認します。不一致があると、すべての認証が失敗します。
- ローカルのRADIUSログを確認します。
- また、APIトークンの有効期限が切れていることを示す可能性があるエラーを探します。
- ログに不正な形式のユーザー名が表示されている場合、サーバーがMSCHAPv2を使用してユーザー名をエンコードしていることを意味します。VPNデバイスの構成をチェックして、PAP認証のみが有効になっていることを確認します。
- Okta System Logをチェックして、接続が拒否された理由を確認します。
- VPNデバイスをチェックして、ログインを制限する可能性のある設定がないか確認します。
ユーザーが優先要素の入力を求められない
可能な解決策:
- サーバーまたはクライアントがRADIUSチャレンジをサポートしていません。
- OpenVPNサーバーはRADIUSチャレンジをサポートしていますが、それに含まれる無料のクライアントはこの方法をサポートしていないため、失敗します。
- CiscoのAnyConnect VPNクライアントの一部のバージョンでは、チャレンジに問題があります。この問題は散発的であり、通常は最新バージョンにアップグレードすると修正されます。
- バージョン5.1より前のVMWare ViewはRADIUSチャレンジをサポートしていません。
- AD/LDAP認証と組み合わせない限り、真の2要素認証ではありません。これは問題になる場合と問題にならない場合があります。
- 2FA(MFAの第2要素のみを使用)の詳細については、「Okta RADIUSアプリの使用」を参照してください。
RADIUSエージェントのconfig.propertiesへの変更が有効にならない
可能な解決策:
- RADIUSエージェントのconfig.propertiesファイルを変更しても、それらの変更はRADIUSエージェントに反映されません。
- config.propertiesファイルに変更を加えた後、RADIUSエージェントを再起動する必要があります。
- Okta orgの関連アプリに変更を加えた場合は、エージェントを再起動する必要はありません。ただし、エージェントが更新された構成を取得するまでに数分かかる場合があります。
- RADIUSエージェントのプロパティーについて詳しくは、「WindowsにOkta RADIUS Serverエージェントをインストールする」の「追加プロパティー」セクションを参照してください。
リクエストキューがいっぱい
RADIUS Serverエージェントが処理できるリクエストスレッドおよび接続の最大数に達したことが原因で、RADIUS Serverエージェントがサインイン試行を拒否した場合、このメッセージがログに出力されます。
可能な解決策:
- config.propertiesでリクエストスレッドと接続の最大数を更新します。推奨される最大値は次のとおりです。
ragent.num_request_threads=60
ragent.num_max_http_connection=80
詳細については、「プロパティーの構成」、「プロパティーの構成」、および「RADIUSのスループットとスケーリング」を参照してください。