RADIUSのよくある問題および懸念事項

RADIUS Serverエージェントがインストールされない

解決策は次のとおりです。

  • 必ずOkta RADIUSでサポートされるいずれかのWindowsまたはLinuxバージョンにインストールします。
  • Okta RADIUSサーバーエージェントは、次のバージョンのWindows Serverにインストールできます。

    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    • Windows Server 2022

    Windowsバージョン2008、2008 R2、2003 R2はサポートされません。

    Okta RADIUSサーバーエージェントは、次のLinuxバージョンでテストされています。

    • Red Hat Enterprise Linuxリリース8.0、8.3
    • CentOS 7.6
    • Ubuntu 18.04.4、20.04.1 LTS
  • インストーラーの「Production」の下のサブドメインだけでなく、「Custom」の下の完全なOkta URLを使用します。
  • プロキシサーバーの有無を確認します。RADIUSサーバーエージェントインストーラーはプロキシの影響を受けます。
  • Palo AltoやFireEyeなどのSSL傍受デバイスを確認します。これは証明書のピン留めに関連し、すべてのエージェントに影響します。
  • ローカルマシンの問題を排除するために、環境内で別のサーバーを試してください。
  • 以前に失敗したインストールで残ったファイルがc:\program files (x86)\Okta\Okta RADIUS\の下にないことを確認します。
  • Windowsのservices.mscをチェックして、問題のあるOkta RADIUSサービスが以前のインストールから残されていないことを確認します(残ることはほとんどありません)。
  • 最新のEAバージョンなど、別のバージョンのRADIUSサーバーエージェントを試します。

VPNデバイスがRADIUSサーバーエージェントに到達できない

RADIUSサーバーエージェントは実行されているのに、RADIUSクライアントデバイスがエージェントに到達できません。(サインイン試行の失敗とは異なります。)

  • C:\Program Files (x86)\Okta\Okta RADIUS Agent\current\logs\にあるOkta RADIUSのログを確認し、接続が確立されているか確認します。失敗した接続も含め、すべての接続が表示されます。
  • VPNデバイスに入力したサーバー名/サーバーIPを再確認し、正しく入力していることを確認します。
  • Okta RADIUS ServerエージェントでWindowsファイアウォール のステータスを検証し、接続がブロックされていないか確認します。
  • VPNデバイスとサーバーがping経由で相互に到達できることを確認するか、ネットワーク管理者にネットワーク接続の確認を依頼します。
  • ホスト名の代わりにIPアドレスを使用してRADIUSサーバーを構成します。ネットワークによってはDNSが制限され、ホスト名が解決されない場合があります。
  • ネットワーク層の問題がネットワークエンジニアとの接続を妨げているかどうかを判断します(NTRADPingが役立ちます)。

認証情報は正しいのに認証に失敗する

可能な解決策:

  • RADIUS Server Agentが有効なログイン試行を拒否しています。
  • OktaでユーザーがRADIUSアプリに割り当てられていることを確認します。
  • ユーザーがMFAに登録されていることを確認します。
  • Okta RADIUS ServerエージェントとVPNデバイスの両方で共有シークレットを確認します。不一致があると、すべての認証が失敗します。
  • ローカルのRADIUSログを確認します。
  • また、APIトークンの有効期限が切れていることを示す可能性があるエラーを探します。
  • ログに不正な形式のユーザー名が表示されている場合、サーバーがMSCHAPv2を使用してユーザー名をエンコードしていることを意味します。VPNデバイスの構成をチェックして、PAP認証のみが有効になっていることを確認します。
  • Okta System Logをチェックして、接続が拒否された理由を確認します。
  • VPNデバイスをチェックして、ログインを制限する可能性のある設定がないか確認します。

ユーザーが優先要素の入力を求められない

可能な解決策:

  • サーバーまたはクライアントがRADIUSチャレンジをサポートしません。
  • OpenVPNサーバーはRADIUSチャレンジをサポートしますが、それに含まれる無料のクライアントはこの方法をサポートしないため、失敗します。
  • CiscoのAnyConnect VPNクライアントの一部のバージョンでは、チャレンジに問題があります。この問題は散発的であり、通常は最新バージョンにアップグレードすると修正されます。
  • バージョン5.1より前のVMWare ViewはRADIUSチャレンジをサポートしていません。
  • AD/LDAP認証と組み合わせない限り、真の2要素認証ではありません。これは問題になる場合と問題にならない場合があります。
  • 2FA(MFAの第2要素のみを使用)の詳細については、「Okta RADIUSアプリの使用」を参照してください。

RADIUSエージェントのconfig.propertiesへの変更が有効にならない

可能な解決策:

  • RADIUSエージェントのconfig.propertiesファイルを変更しても、それらの変更はRADIUSエージェントに反映されません。
  • config.propertiesファイルに変更を加えた後、RADIUSエージェントを再起動する必要があります。
  • Okta orgの関連アプリに変更を加えた場合は、エージェントを再起動する必要はありません。ただし、更新された構成をエージェントが取得するまで数分かかる場合があります。
  • RADIUSエージェントプロパティの詳細については、「WindowsにOkta RADIUSサーバーエージェントをインストールする」の「追加プロパティ」セクションを参照してください。

リクエストキューが満杯

RADIUSサーバーエージェントが処理できるリクエストスレッドと接続の最大数に達したことが原因で、RADIUSサーバーエージェントがサインイン試行を拒否する場合、このメッセージがログに出力されます。

可能な解決策:

  • config.propertiesでリクエストスレッドと接続の最大数を更新します。推奨される最大値は次のとおりです。
    • ragent.num_request_threads=60

    • ragent.num_max_http_connection=80

詳細については、「プロパティーの構成」、「プロパティーの構成」、および「RADIUSのスループットおよびスケーリングベンチマーク」を参照してください。