RADIUSのよくある問題および懸念事項

Okta RADIUS Agentは、次のバージョンのWindowsサーバーにインストールできます。

Windowsバージョン2008、2008 R2、および2003 R2はサポートされていません。

Okta RADIUS Agentは、次のLinuxバージョンでテストされています。

インストーラーの「Production」の下のサブドメインだけでなく、「Custom」の下の完全なOkta URLを使用します。
プロキシー・サーバーの有無を確認します。RADIUS Serverエージェントのインストーラーはプロキシーの影響を受けます。
Palo AltoやFireEyeなどのSSL傍受デバイスを確認します。これは証明書のピン留めに関連し、すべてのエージェントに影響します。
ローカル・マシンの問題を排除するために、環境内で別のサーバーを試してください。
以前に失敗したインストールで残ったファイルがc:\program files (x86)\Okta\Okta RADIUS\の下にないことを確認します。
Windowsのservices.mscをチェックして、以前のインストールで問題のあるOkta RADIUSサービスが残っていないか確認します（残っていることはほとんどありません）。
最新のEAバージョンなど、別のバージョンのRADIUS Serverエージェントを試してください。

RADIUS Serverエージェントは実行中ですが、RADIUSクライアント・デバイスがエージェントに到達できません（注：ログインの失敗とは異なります）。
C:\Program Files (x86)\Okta\Okta RADIUS Agent\current\logs\にあるOkta RADIUSのログを確認し、接続が確立されているか確認します。失敗した接続も含め、すべての接続が表示されます。
VPNデバイスに入力したサーバー名/サーバーIPを再確認し、正しく入力していることを確認します。
Okta RADIUS Server AgentサーバーのWindowsファイアウォールのステータスを確認し、接続がブロックされていないことを確認します。
VPNデバイスとサーバーがping経由で相互に到達できることを確認するか、ネットワーク管理者にネットワーク接続の確認を依頼します。
ホスト名の代わりにIPアドレスを使用してRADIUSサーバーを構成します。ネットワークによってはDNSが制限され、ホスト名が解決されない場合があります。
ネットワーク層の問題がネットワーク・エンジニアとの接続を妨げているかどうかを判断します（NTRADPingが役立ちます）。

RADIUS Serverエージェントが有効なログイン試行を拒否しています。
OktaでユーザーがRADIUSアプリに割り当てられていることを確認します。
ユーザーがMFAに登録されていることを確認します。
Okta RADIUS Server AgentとVPNデバイスの両方の共有シークレットを確認します。不一致があると、すべての認証が失敗します。
ローカルのRADIUSログを確認します。
また、APIトークンの有効期限が切れている可能性があることを示すエラーを探します。
ログに不正なユーザー名が表示されている場合（ユーザーが「bob」を送信したのにログに「Á」が表示されている場合など）、サーバーがMSCHAPv2を使用してユーザー名をエンコードしていることを意味します。VPNデバイスの構成をチェックして、PAP認証のみが有効になっていることを確認します。
Okta syslogをチェックして、接続が拒否された理由を確認します。
VPNデバイスをチェックして、ログインを制限する可能性のある設定がないか確認します。

サーバーまたはクライアントがRADIUSチャレンジをサポートしていません。
OpenVPNサーバーはRADIUSチャレンジをサポートしていますが、それに含まれる無料のクライアントはこの方法をサポートしていないため、失敗します。
CiscoのAnyConnect VPNクライアントの一部のバージョンでは、チャレンジに問題があります。この問題は散発的であり、通常は最新バージョンにアップグレードすると修正されます。
バージョン5.1より前のVMWare ViewはRADIUSチャレンジをサポートしていません。
AD/LDAP認証と組み合わせない限り、真の2要素認証ではありません。これは問題になる場合と問題にならない場合があります。
2FA（MFAの第2要素のみを使用）の詳細については、「Okta RADIUS アプリの使用」を参照してください。

トピック