RADIUSのよくある問題および懸念事項

RADIUSサーバーエージェントがインストールされない

  • 必ずOkta RADIUSでサポートされているWindowsまたはLinuxバージョンのいずれかにインストールします。

    • Okta RADIUSサーバーエージェントは、次のバージョンのWindows Serverにインストールできます。

    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    • Windows Server 2022

    Windowsバージョン2008、2008 R2、2003 R2はサポートされません。

    Okta RADIUSサーバーエージェントは、次のLinuxバージョンでテストされています。

    • Red Hat Enterprise Linuxリリース8.0、8.3
    • CentOS 7.6
    • Ubuntu 18.04.4、20.04.1 LTS
  • インストーラーのProductionの下のサブドメインでなく、Customの下の完全なOkta URLを使用します。
  • プロキシ サーバーの存在を確認します。プロキシが存在する場合、RADIUSサーバーエージェントのインストーラーが正常に機能しない場合があります。
  • Palo AltoやFireEyeなどのSSL傍受デバイスを確認します。これは証明書のピン留めに関連し、すべてのエージェントに影響します。
  • ローカルマシンが問題である可能性を排除するために、環境内で別のサーバーの使用を試してください。
  • 以前に失敗したインストールで残ったファイルがc:\program files (x86)\Okta\Okta RADIUS\の下にないことを確認します。
  • Windowsのservices.mscのユーティリティで以前のインストールで問題のあるOkta RADIUSサービスが残っていないことを確認します。
  • RADIUSサーバーエージェントの最新EAバージョンの実行を試します。
  • 秘密鍵の長さが16文字以下であることを確認します。

VPNデバイスがRADIUSサーバーエージェントに到達できない

RADIUSサーバーエージェントは実行されているのに、RADIUSクライアントデバイスがエージェントに到達できません。サインイン試行の失敗とは異なります。

  • C:\Program Files (x86)\Okta\Okta RADIUS Agent\current\logs\にあるOkta RADIUSのログを確認し、接続が確立されているか確認します。失敗した接続も含め、すべての接続がログに表示されます。
  • VPNデバイスに入力されたサーバー名とIPアドレスが正しいことを確認します。
  • Okta RADIUS ServerエージェントでWindowsファイアウォール のステータスを検証し、接続がブロックされていないか確認します。
  • VPNデバイスとサーバーがping経由で相互に到達できることを確認します。
  • ネットワーク管理者に問い合わせて、ネットワーク接続の問題が接続を妨げていないことを確認します。NTRADPingの実行を依頼することを検討してください。
  • ホスト名の代わりにIPアドレスを使用してRADIUSサーバーを構成します。ネットワークによってはDNSが制限され、ホスト名が解決されません。

認証情報は正しいのに認証に失敗する

  • RADIUSサーバーエージェントが有効なログイン試行を拒否しています。
  • OktaでユーザーがRADIUSアプリに割り当てられていることを確認します。
  • ユーザーが多要素認証(MFA)に登録されていることを確認します。
  • Okta RADIUSサーバーエージェントとVPNデバイスの両方で共有シークレットが互いに一致することを確認します。不一致があると、すべての認証が失敗します。
  • 秘密鍵の長さが16文字以下であることを確認します。
  • ローカルのRADIUSログで、APIトークンの有効期限が切れたことを示す異常なアクティビティやエラーの兆候がないか確認します。
  • ログに不正な形式のユーザー名が表示されている場合、サーバーがMSCHAPv2を使用してユーザー名をエンコードしていることを意味します。VPNデバイスの構成をチェックして、PAP認証のみが有効になっていることを確認します。
  • Okta System Logをチェックして、接続が拒否された理由を確認します。
  • VPNデバイスをチェックして、ログインを制限する可能性のある設定がないか確認します。

ユーザーが優先要素の入力を求められなかった

  • サーバーまたはクライアントがRADIUSチャレンジをサポートしません。
  • OpenVPNサーバーはRADIUSチャレンジをサポートしますが、それに含まれる無料のクライアントはこの方法をサポートしないため、サインイン試行は失敗します。
  • Cisco AnyConnect VPNクライアントをお持ちの場合は、最新バージョンにアップグレードすることを検討してください。
  • バージョン5.1i以前のVMWare ViewはRADIUSチャレンジをサポートしていません。
  • MFAの第2要素のみを使用の詳細については、「Okta RADIUSアプリケーション」を参照してください。

RADIUSエージェントのconfig.propertiesへの変更が有効にならない

  • RADIUSエージェントのconfig.propertiesファイルを変更しても、それらの変更はRADIUSエージェントに反映されません。
  • config.propertiesファイルに変更を加えた後、RADIUSエージェントを再起動します。
  • Okta org内の関連アプリを変更する場合、エージェントを再起動する必要はありません。ただし、エージェントが更新された構成を受信するまでには数分かかります。
  • RADIUSエージェントプロパティの詳細については、「WindowsにOkta RADIUSサーバーエージェントをインストールする」を参照してください。

リクエストキューが満杯

RADIUSサーバーエージェントがサインイン試行を拒否すると、このメッセージがログに表示されます。RADIUSサーバーエージェントが処理できるリクエストスレッドと接続の最大数に達したことが原因で出力されます。

  • config.propertiesでリクエストスレッドと接続の最大数を更新します。推奨される最大値は次のとおりです。
    • ragent.num_request_threads=60
    • ragent.num_max_http_connection=80

関連項目

プロパティを構成する

プロパティを構成する

RADIUSスループットおよびスケーリングベンチマーク