Problèmes courants et autres problèmes concernant RADIUS

L'agent du serveur RADIUS ne s'installe pas

  • Assurez-vous que vous installez l'une des versions d'Okta RADIUS prises en charge par Windows ou Linux.

  • L'agent RADIUS Okta peut être installé sur les versions suivantes du serveur Windows :

    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    • Windows Server 2022

    Les versions 2008, 2008 R2 et 2003 R2 de Windows ne sont pas prises en charge.

  • L'agent RADIUS Okta a été testé sur les versions suivantes de Linux :

    • Red Hat Enterprise Linux version 8.0, 8.3 et 9.0
    • CentOS 7.6
    • Ubuntu 18.04.4 et LTS 20.04.1
  • Dans le programme d'installation, sous « Personnalisé », utilisez l'URL d'Okta complète plutôt que simplement le sous-domaine sous «Production».
  • Vérifiez la présence d'un serveur proxy. Le programme d'installation de l'agent du serveur RADIUS est susceptible de ne pas fonctionner correctement si des proxys sont présents.
  • Vérifiez la présence d'un dispositif d'interception SSL comme Palo Alto ou FireEye. En effet, ces dispositifs sont liés à l'épinglage de certificats et ont une incidence sur l'ensemble des agents.
  • Essayez un autre serveur dans l'environnement afin d'éliminer tout problème lié à l'ordinateur local.
  • Assurez-vous qu'il ne reste aucun fichier issu d'un précédent échec d'installation sous c:\program files (x86)\Okta\Okta RADIUS\
  • Vérifiez qu'il n'existe aucun service Okta RADIUS issu d'une précédente installation via l'utilitaire services.msc pour Windows.
  • Essayez une nouvelle version de l'agent du serveur RADIUS, p. ex. la dernière version EA.
  • Vérifiez que la longueur de la clé secrète est de 16 caractères ou moins.

L'appareil VPN ne peut pas accéder à l'agent du serveur RADIUS

L'agent du serveur RADIUS fonctionne, mais l'appareil du client RADIUS ne peut pas y accéder. Ce chiffre est différent des tentatives de connexion infructueuses.

  • Consultez les journaux RADIUS Okta sous C:\Program Files (x86)\Okta\Okta RADIUS Agent\current\logs\ pour savoir si des connexions ont lieu. Toutes les connexions apparaissent dans les journaux, y compris celles qui se sont soldées par des échecs.
  • Vérifiez que le nom du serveur et l'adresse IP qui ont été saisis dans l'appareil VPN sont corrects.
  • Vérifiez le statut du pare-feu Windows sur le serveur de l'agent du serveur RADIUS Okta afin de vous assurer qu'il ne bloque pas la connexion.
  • Vérifiez que l'appareil VPN et le serveur peuvent se connecter par le biais de la commande ping.
  • Demandez à un administrateur réseau de vérifier que les problèmes de connectivité réseau n'empêchent pas les connexions. Pensez à lui demander d'exécuter NTRADPing pour vous.
  • Configurez le serveur RADIUS avec l'adresse IP plutôt que le nom d'hôte. En effet, le DNS est limité sur certains réseaux et les noms d'hôtes ne résolvent pas le problème.

L'authentification échoue avec les bonnes informations d'identification

  • L'agent du serveur RADIUS rejette des tentatives de connexion valides.
  • Vérifiez que l'utilisateur est affecté à l'application RADIUS dans Okta.
  • Vérifiez que l'utilisateur est inscrit à l'authentification multifacteur (MFA).
  • Vérifiez le secret partagé sur l'agent du serveur RADIUS Okta et sur l'appareil VPN, Une incohérence provoquera un échec de toutes les authentifications.
  • Vérifiez que la longueur de la clé secrète est de 16 caractères ou moins.
  • Vérifiez les journaux RADIUS locaux pour repérer des signes d'activité et d'erreurs inhabituelles qui indiquent que le jeton API a expiré.
  • Si les journaux contiennent un nom d'utilisateur incorrect, cela signifie que le serveur se sert de MSCHAPv2 pour encoder le nom d'utilisateur. Vérifiez la configuration de l'appareil VPN pour vous assurer que seule l'authentification PAP est activée.
  • Vérifiez le System Log Okta pour savoir pourquoi la connexion a été rejetée.
  • Recherchez tous les paramètres de l'appareil VPN qui sont susceptibles de restreindre la connexion.

L'utilisateur n'est pas invité à indiquer son facteur préféré

  • Le serveur ou le client ne prend pas la vérification RADIUS en charge.
  • Le serveur OpenVPN prend la vérification RADIUS en charge, mais le client libre intégré avec ne prend pas la méthode en charge et provoque un échec.
  • Si vous disposez d'un client VPN Cisco AnyConnect, pensez à le mettre à niveau vers la dernière version.
  • VMWare View versions 5.1 et antérieures ne prend pas en charge la vérification RADIUS .
  • Pour obtenir des informations concernant la 2FA dans la MFA, consultez la section Utiliser l'application RADIUS Okta.

Les modifications apportées au ficheir config.properties de l'agent RADIUS ne se reflètent pas.

  • Le fichier config.properties de l'agent RADIUS a été modifié, mais les changements apportés ne sont pas reflétés par l'agent RADIUS.
  • Redémarrez l'agent RADIUS après toute modification apportée au fichier config.properties.
  • Si vous modifiez l'app associée dans l'org Okta, vous n'avez pas besoin de redémarrer l'agent. Toutefois, l'agent prend quelques minutes pour recevoir la configuration mise à jour.
  • Pour obtenir plus d'informations sur les propriétés de l'agent RADIUS, consultez la section Propriétés supplémentaires dans Installer l'agent du serveur RADIUS Okta sur Windows.

La file d'attente des requêtes est complète.

Ce message apparaît dans vos journaux lorsque l'agent du serveur RADIUS rejette des tentatives de connexion. Ce message apparaît dans vos journaux lorsque l'agent du serveur RADIUS rejette des connexions car il a atteint le nombre maximal de threads de requêtes et de connexion qu'il peut traiter.

  • Mettez le maximum de threads de requêtes et de connexion à jour dans config.properties. Les valeurs maximales recommandées sont :
    • ragent.num_request_threads=60
    • ragent.num_max_http_connection=80

Rubriques liées

Configurer les propriétés

Configurer les propriétés

Repères de débit et d'évolutivité RADIUS