RADIUSのよくある問題および懸念事項

RADIUSのよくある問題および懸念事項のトラブルシューティング

RADIUS Serverエージェントをインストールできない。

解決策は次のとおりです。

  • Okta RADIUSでサポートされているWindowsまたはLinuxバージョンのいずれかにインストールしていることを確認します。

    • Okta RADIUS Agentは、次のバージョンのWindowsサーバーにインストールできます。

    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    • Windows Server 2022

    Windowsバージョン2008、2008 R2、および2003 R2はサポートされていません。

    Okta RADIUS Agentは、次のLinuxバージョンでテストされています。

    • Red Hat Enterprise Linuxリリース8.0、8.3
    • CentOS 7.6
    • Ubuntu 18.04.4、20.04.1 LTS
  • インストーラーの「Production」の下のサブドメインだけでなく、「Custom」の下の完全なOkta URLを使用します。
  • プロキシーサーバーの有無を確認します。RADIUS Server Agentのインストーラーはプロキシーの影響を受けます。
  • Palo AltoやFireEyeなどのSSL傍受デバイスを確認します。これは証明書のピン留めに関連し、すべてのエージェントに影響します。
  • ローカルマシンの問題を排除するために、環境内で別のサーバーを試してください。
  • 以前に失敗したインストールで残ったファイルがc:\program files (x86)\Okta\Okta RADIUS\の下にないことを確認します。
  • Windowsのservices.mscをチェックして、以前のインストールで問題のあるOkta RADIUSサービスが残っていないか確認します(残っていることはほとんどありません)。
  • 最新のEAバージョンなど、別のバージョンのRADIUS Server Agentを試してください。

RADIUS Agentに到達できない。
RADIUS Server Agentは実行されているが、RADIUSクライアントデバイスがエージェントに到達できない(注:ログインの失敗とは異なります)。

  • C:\Program Files (x86)\Okta\Okta RADIUS Agent\current\logs\にあるOkta RADIUSのログを確認し、接続が確立されているか確認します。失敗した接続も含め、すべての接続が表示されます。
  • VPNデバイスに入力したサーバー名/サーバーIPを再確認し、正しく入力していることを確認します。
  • Okta RADIUS Server AgentサーバーのWindowsファイアウォールのステータスを確認し、接続がブロックされていないことを確認します。
  • VPNデバイスとサーバーがping経由で相互に到達できることを確認するか、ネットワーク管理者にネットワーク接続の確認を依頼します。
  • ホスト名の代わりにIPアドレスを使用してRADIUSサーバーを構成します。ネットワークによってはDNSが制限され、ホスト名が解決されない場合があります。
  • ネットワーク層の問題がネットワークエンジニアとの接続を妨げているかどうかを判断します(NTRADPingが役立ちます)。

RADIUS Server Agentが有効なログイン試行を拒否する。

可能な解決策:

  • RADIUS Server Agentが有効なログイン試行を拒否しています。
  • OktaでユーザーがRADIUSアプリに割り当てられていることを確認します。
  • ユーザーがMFAに登録されていることを確認します。
  • Okta RADIUS Server AgentとVPNデバイスの両方の共有シークレットを確認します。不一致があると、すべての認証が失敗します。
  • ローカルのRADIUSログを確認します。
  • また、APIトークンの有効期限が切れている可能性があることを示すエラーを探します。
  • ログに不正なユーザー名が表示されている場合(ユーザーが「bob」を送信したのにログに「Á」が表示されている場合など)、サーバーがMSCHAPv2を使用してユーザー名をエンコードしていることを意味します。VPNデバイスの構成をチェックして、PAP認証のみが有効になっていることを確認します。
  • Okta syslogをチェックして、接続が拒否された理由を確認します。
  • VPNデバイスをチェックして、ログインを制限する可能性のある設定がないか確認します。

ログイン時にユーザーが優先要素の入力を求められない。

可能な解決策:

  • サーバーまたはクライアントがRADIUSチャレンジをサポートしていません。
  • OpenVPNサーバーはRADIUSチャレンジをサポートしていますが、それに含まれる無料のクライアントはこの方法をサポートしていないため、失敗します。
  • CiscoのAnyConnect VPNクライアントの一部のバージョンでは、チャレンジに問題があります。この問題は散発的であり、通常は最新バージョンにアップグレードすると修正されます。
  • バージョン5.1より前のVMWare ViewはRADIUSチャレンジをサポートしていません。
  • AD/LDAP認証と組み合わせない限り、真の2要素認証ではありません。これは問題になる場合と問題にならない場合があります。
  • 2FA(MFAの第2要素のみを使用)の詳細については、「Okta RADIUSアプリの使用」を参照してください。

1つ以上のプロパティーを変更しても、その変更が無視される。

可能な解決策:

  • RADIUS Agentのconfig.propertiesファイルを変更しても、それらの変更はRADIUS Agentに反映されません。
  • config.propertiesファイルに変更を加えた後、RADIUS Agentを再起動する必要があります。
  • Okta orgの関連アプリに変更を加えた場合は、エージェントを再起動する必要はありません。ただし、エージェントが更新された構成を取得するまでに数分かかる場合があります。
  • RADIUS Agentのプロパティーについて詳しくは、「WindowsにOkta RADIUS Serverエージェントをインストールする」の「追加プロパティー」セクションを参照してください。

RADIUS Server Agentが処理できるリクエストスレッドおよび接続の最大数に達したことが原因で、RADIUS Server Agentがログインを拒否した場合、このメッセージがログに出力されます。

可能な解決策:

  • config.propertiesでリクエストスレッドと接続の最大数を更新します。推奨される最大値は次のとおりです。

    • ragent.num_request_threads=60

    • ragent.num_max_http_connection=80

詳細については、「プロパティーの構成」、「プロパティーの構成」、および「RADIUSのスループットとスケーリング」を参照してください。