RADIUSのよくある問題および懸念事項
RADIUSのよくある問題および懸念事項のトラブルシューティング
トピック

- Okta RADIUSでサポートされているWindowsまたはLinuxバージョンのいずれかにインストールしていることを確認します。
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Red Hat Enterprise Linuxリリース8.0、8.3
- CentOS 7.6
- Ubuntu 18.04.4、20.04.1 LTS
- インストーラーの「Production」の下のサブドメインだけでなく、「Custom」の下の完全なOkta URLを使用します。
- プロキシー・サーバーの有無を確認します。RADIUS Serverエージェントのインストーラーはプロキシーの影響を受けます。
- Palo AltoやFireEyeなどのSSL傍受デバイスを確認します。これは証明書のピン留めに関連し、すべてのエージェントに影響します。
- ローカル・マシンの問題を排除するために、環境内で別のサーバーを試してください。
- 以前に失敗したインストールで残ったファイルがc:\program files (x86)\Okta\Okta RADIUS\の下にないことを確認します。
- Windowsのservices.mscをチェックして、以前のインストールで問題のあるOkta RADIUSサービスが残っていないか確認します(残っていることはほとんどありません)。
- 最新のEAバージョンなど、別のバージョンのRADIUS Serverエージェントを試してください。
Okta RADIUS Agentは、次のバージョンのWindowsサーバーにインストールできます。
Windowsバージョン2008、2008 R2、および2003 R2はサポートされていません。
Okta RADIUS Agentは、次のLinuxバージョンでテストされています。

- RADIUS Serverエージェントは実行中ですが、RADIUSクライアント・デバイスがエージェントに到達できません(注:ログインの失敗とは異なります)。
- C:\Program Files (x86)\Okta\Okta RADIUS Agent\current\logs\にあるOkta RADIUSのログを確認し、接続が確立されているか確認します。失敗した接続も含め、すべての接続が表示されます。
- VPNデバイスに入力したサーバー名/サーバーIPを再確認し、正しく入力していることを確認します。
- Okta RADIUS Server AgentサーバーのWindowsファイアウォールのステータスを確認し、接続がブロックされていないことを確認します。
- VPNデバイスとサーバーがping経由で相互に到達できることを確認するか、ネットワーク管理者にネットワーク接続の確認を依頼します。
- ホスト名の代わりにIPアドレスを使用してRADIUSサーバーを構成します。ネットワークによってはDNSが制限され、ホスト名が解決されない場合があります。
- ネットワーク層の問題がネットワーク・エンジニアとの接続を妨げているかどうかを判断します(NTRADPingが役立ちます)。

- RADIUS Serverエージェントが有効なログイン試行を拒否しています。
- OktaでユーザーがRADIUSアプリに割り当てられていることを確認します。
- ユーザーがMFAに登録されていることを確認します。
- Okta RADIUS Server AgentとVPNデバイスの両方の共有シークレットを確認します。不一致があると、すべての認証が失敗します。
- ローカルのRADIUSログを確認します。
- また、APIトークンの有効期限が切れている可能性があることを示すエラーを探します。
- ログに不正なユーザー名が表示されている場合(ユーザーが「bob」を送信したのにログに「Á」が表示されている場合など)、サーバーがMSCHAPv2を使用してユーザー名をエンコードしていることを意味します。VPNデバイスの構成をチェックして、PAP認証のみが有効になっていることを確認します。
- Okta syslogをチェックして、接続が拒否された理由を確認します。
- VPNデバイスをチェックして、ログインを制限する可能性のある設定がないか確認します。

- サーバーまたはクライアントがRADIUSチャレンジをサポートしていません。
- OpenVPNサーバーはRADIUSチャレンジをサポートしていますが、それに含まれる無料のクライアントはこの方法をサポートしていないため、失敗します。
- CiscoのAnyConnect VPNクライアントの一部のバージョンでは、チャレンジに問題があります。この問題は散発的であり、通常は最新バージョンにアップグレードすると修正されます。
- バージョン5.1より前のVMWare ViewはRADIUSチャレンジをサポートしていません。
- AD/LDAP認証と組み合わせない限り、真の2要素認証ではありません。これは問題になる場合と問題にならない場合があります。
- 2FA(MFAの第2要素のみを使用)の詳細については、「Okta RADIUS アプリの使用」を参照してください。

- RADIUSエージェントのconfig.propertiesファイルに変更が加えられましたが、その変更がRADIUSエージェントに反映されていません。
- config.propertiesファイルに変更を加えた後、RADIUSエージェントを再起動する必要があります。
- Okta組織の関連アプリに変更を加えた場合は、エージェントを再起動する必要はありません。
ただし、エージェントが更新された構成を取得するまでに数分かかる場合があります。 - RADIUS Agentのプロパティーの詳細については、WindowsにOkta RADIUSサーバー・エージェントをインストールして構成するの「追加のプロパティー」セクションを参照してください。