RADIUS問題解決ガイド

Last updated
Save as PDF

概要

MRアクセスポイント、MSスイッチ、MX/Zセキュリティアプライアンス（Merakiデバイス）では、外部サーバーをRADIUS認証用に設定できます。ここでは、RADIUSのトラブルシューティングを伴う問題が発生した場合の一般的なトラブルシューティング方法と、問題を切り離して体系的に解決する流れについて説明します。

RADIUSの設定や初期セットアップについては、以下の記事を参照してください。

RADIUS認証のトラブルシューティングの流れ

以下のフローチャートは、RADIUS認証に関する一般的な問題を切り離してトラブルシューティングする際のステップを示しています。どのようなシナリオでも、このフローチャートを上から下へたどる必要があります。ここでは、RADIUSに関するごく一般的な問題を解決することと、ネットワーク内の特定のポイントまで問題を切り離すことを目的としています。

ダッシュボードの設定

最初に確認すべきことは、ダッシュボード上でRADIUSが正しく設定されているかどうかです。RADIUSの設定にアクセスするには、以下のように選択して移動します。

Wireless（ワイヤレス） > Configure（設定） > Access Control:Select (SSID)（アクセス制御：選択（SSID）） > RADIUS Servers（RADIUS サーバー）

Japanese Radius Servers.png

Switch（スイッチ） > Configure（設定） > Access Policies（アクセスポリシー） > Radius Servers（RADIUS サーバー）

Security & SD-WAN/Teleworker Gateway（セキュリティ & SD-WAN/テレワーカーゲートウェイ） > Configure（設定） > Access Policies（アクセスポリシー） > RADIUS for Splash Page（スプラッシュページ用RADIUS）

以下のパラメータを確認する必要があります。

RADIUSサーバーのIPアドレスが正しく追加されていること
ダッシュボードとRADIUSサーバーでポートが同じように設定されていること
ダッシュボードとRADIUSサーバーでシークレットが同一であること

RADIUSサーバーのPingテスト

RADIUS認証時には、MerakiデバイスがRADIUSパケットを使用してRADIUSサーバーへの到達を試みます。これを成功させるには、MerakiデバイスからRADIUSサーバーへ到達可能な状態でなければなりません。そのため、以下のステップに従ってRADIUSサーバーの到達可能性をテストします。

デバイスステータスページに移動します。
- MR：Wireless（ワイヤレス） > Access Points（アクセスポイント） > Select Access Point（アクセスポイントの選択） > Tools（ツール） > Ping
- MS：Switch（スイッチ） > Switches（スイッチ） > Select Switch（スイッチの選択） > Tools（ツール） > Ping
- MX：Security & SD-WAN（セキュリティ & SD-WAN） > Appliance Status（機器のステータス） > Tools（ツール） > Ping
- Zシリーズ：Teleworker Gateway（テレワーカーゲートウェイ） > Appliance Status（機器のステータス） > Tools（ツール） > Ping
Pingツールを使用して、RADIUSサーバーのIPをPingテストします。
Pingが失敗した場合は、RADIUSサーバーまでのルーティングを確認します。

ダッシュボードのRADIUSテストツール

Japanese Radius Testing.png

ダッシュボード設定には、上記のようにRADIUSサーバーとの接続性を確認するためのテストツールが備わっています。 RADIUS認証情報を指定して「Begin test（テストを開始）」をクリックすると、「Test = Pass」または「Test = Fail」のいずれかの結果が返されます。このテストツールを実行すると、APとRADIUSサーバーの間で、EAP-PEAPとMS-CHAPv2を使用したRADIUS Access-Request/Challengeの交換が開始されます。このツールは、APからサーバーに到達可能かどうかと、指定された認証情報が有効かどうかだけを確認するよう設計されています。APには証明書がインストールされていないため、クライアント側の証明書（EAP-TLSなど）を必要とするEAPタイプを使用すると、テストは失敗します。実際のクライアントデバイスでテストすることをお勧めします。MRアクセスポイントでサポートされるEAPタイプについては、こちらを参照してください。

Test = Pass

ダッシュボードのRADIUSテストに合格した場合は、以下のステップに進むことができます。

テストに合格した場合は、RADIUSサーバーが到達可能で、認証用に設定されています。クライアントが接続できない場合は、クライアントデバイスがEAPセッションを生成しているかどうかを確認してください。
クライアント認証に失敗した後でRADIUSサーバー上に生成されるログを確認してください。

Test = Fail

RADIUSサーバーがPingを実行できるが、テストに失敗する場合は、ダッシュボードのパケットキャプチャに進んでください。

ダッシュボードのパケットキャプチャ

Merakiダッシュボードでは、ネットワーク内のすべてのRADIUS対応Merakiデバイスを対象に、パケットキャプチャを直接実行できます。この機能を使用するには、Network Wide（ネットワーク全体） > Monitor（監視） > Packet Capture（パケット キャプチャ）に移動します。

パケットキャプチャは、RADIUSサーバーに到達可能なMerakiデバイスの有線インターフェースで実行する必要があります。Wireshark対応の.pcapファイルとして出力をダウンロードすることを強くお勧めします。

パケットキャプチャが開始されたら、失敗したクライアントにRADIUSへの接続を再試行させ、このプロセスが完了するまでの間にパケットキャプチャが実行されるようにしてください。パケットキャプチャはWiresharkで開くことができ、以下のようにフィルタを適用できます。

RADIUS用のWiresharkフィルタ：

例：ip.addr==192.168.128.254 && radius（192.168.128.254はRADIUSサーバーのIP）

汎用フィルタを適用したRADIUSパケットキャプチャの例を以下に示します。

Screen Shot 2019-05-21 at 5.04.03 PM.png

上記のスクリーンショットは、成功したRADIUS認証の例です。Access-Request、Access-Challenge、Access-Acceptを使用して双方向通信が行われているのがわかります。サンプルのパケットキャプチャは、参照用にダウンロード可能です。

RADIUSトラフィックフロー

RADIUS認証に失敗した場合は、トラフィックフローが異なり、以下に示す3つの結果のいずれかになる可能性があります。

RADIUSプロトコルトラフィックがない
Access-Requestが単方向
RADIUSサーバーがAccess-Rejectを送信する

RADIUSプロトコルトラフィックがない

前述のWiresharkフィルタを適用すると、RADIUSトラフィックのみが出力内でフィルタリングされ、MerakiデバイスからRADIUSサーバーにRADIUSプロトコルトラフィックが送信されていない場合は、出力が空になります。トラフィックがある場合は、ユーザ名を確認して、正しいクライアントデバイスに対するトラフィックかどうかを確認してください。

MerakiデバイスからのRADIUSプロトコルトラフィックがない場合は、以下のステップに従ってください。

クライアントが正しいSSIDまたはポートへの接続を試みていて、EAPセッションを生成しているかどうかを確認します。
クライアントデバイスの設定を確認して、RADIUS認証の要件と一致していることを確認します。
クライアントデバイスに対してワイヤレスまたは有線のパケットキャプチャを実行して、クライアントデバイスからトラフィックが送信されているかどうかを確認します。
クライアントデバイスが必要なトラフィックを送信していることを確認した後も認証が失敗する場合は、パケットキャプチャを再実行して、フローチャートに従います。

クライアントがEAPセッションを生成してMerakiデバイスにトラフィックを送信すると、MerakiデバイスがAccess-RequestをRADIUSサーバーに転送します。

Access-Requestが単方向

クライアントデバイスがEAPセッショントラフィックを生成していて、パケットキャプチャ内のAccess-Requestが単方向になっている場合は、サーバーから応答を受信していないためRADIUS認証が失敗します。この失敗には、以下のような複数の理由が考えられます。

RADIUSサーバーへのルーティング：
- Access-RequestはRADIUSサーバーに送信されているが、応答が通知されないため、RADIUSサーバーに到達する前にトラフィックがドロップされている可能性があります。
- Pingが成功した場合は、どこでRADIUSトラフィックがドロップされるかを確認し、ルーティングを修正する必要があります。
RADIUSサービス：
- ルーティングが正しく、RADIUSパケットがRADIUSサーバーに送信されている場合は、RADIUSサーバー上でRADIUSサービスがオンになっているかどうかを確認する必要があります。
RADIUSクライアント：
- クライアントによって生成されるEAPセッショントラフィックがRADIUSサーバーの設定で許可されていない場合は、RADIUSサーバーによってパケットがドロップされます。
- MerakiデバイスがRADIUSクライアントとして追加され、許可されていることを確認します。

これらの設定が正しいことを確認した後も認証が失敗する場合は、パケットキャプチャを再実行して、フローチャートに従います。

RADIUSサーバーがAccess-Rejectで応答する

Access-Requestを受け取ったRADIUSサーバーは、Access-Acceptを送信してクライアントを認証するか、Access-Rejectを送信して認証を拒否することができます。

RADIUSサーバーからAccess-Rejectが返された場合は、複数の理由が考えられます。その一部を以下に示します。

RADIUSサーバーに証明書がインストールされていないか、証明書の有効期限が切れている
- RADIUSサーバーにインストールされたデジタル証明書がまだ有効かどうかを確認します。
- 証明書の有効期限が切れているか、証明書がない場合は、デジタル証明書の更新またはインストールが必要です。
ユーザ名またはパスワードが間違っている
- クライアントが間違った認証情報（ユーザ名、パスワード、またはその両方）でログインすると、RADIUSサーバーはAccess-Rejectで認証を拒否します。
ダッシュボード上のシークレットが間違っている
- ダッシュボードで設定されたシークレットは、RADIUSクライアントの設定時にRADIUSサーバー上で追加されたシークレットキーと一致している必要があります。

RADIUSサーバーが認証を拒否する要因はいくつかあります。その一部を以下に示します。

ネットワークポリシーの設定が間違っている
接続要求ポリシーの設定が間違っている
認証設定の不一致
（サーバー上でActive Directoryを使用している場合）クライアントがドメインのメンバーでない
クライアントデバイスにルート証明書が追加されていない
サーバーまたはクライアントで使用しているEAP方式が間違っている

RADIUSトラフィックの検証

前述のステップを確認し、要件どおりに設定を行ったら、ダッシュボードのパケットキャプチャツールを使用してパケットキャプチャを再実行し、RADIUSトラフィックフローを確認します。

この時点でクライアントが認証され、サーバーからクライアントにAccess-Acceptメッセージが送信されるはずです。それでもサーバーがAccess-Rejectを送信する場合は、サーバーに問題がある可能性が高いため、RADIUSサーバーにアクセスして、生成されたログを確認する必要があります。

概要