はじめに
Aruba ClearPass Policy Manager (以下、CPPM) にて、AD を認証ソースとしたサービスを設定している場合に、アクセス・トラッカーで以下のような警告ログが出力されて認証に失敗するケースがあります。
エラーコード: 216
エラーカテゴリ: Authentication failure
エラーメッセージ: User authentication failed
この要求のアラート
RADIUS MSCHAP: AD status:Reading winbind reply failed! (0xc0000001)
MSCHAP: Authentication failed
EAP-MSCHAPv2: User authentication failure
このエラーは主に認証方式として EAP-PEAP を指定している場合に発生します。
このエラーの原因と対応方法について記載します。
作業環境
- Aruba ClearPass Policy Manager 6.7.X
原因①:AD ドメインに参加していない
CPPM が AD ドメインに参加していない場合、「AD status:Reading winbind reply failed!」が発生します。
CPPM が AD ドメインに参加しているかどうかは、[管理 » サーバー・マネージャー » サーバー設定 – <ホスト名>] 画面のシステムタブの下部で確認できます。
以下の画像のように表示されている場合は AD ドメインに参加していない状態となっています。
対応方法
上画像の [Join AD Domain] ボタンをクリックして AD ドメインに参加させます。
[Join AD Domain] ボタンをクリックすると以下画面が表示されるため、各項目を指定して [Save] をクリックすると AD ドメインに参加します。
AD ドメインに参加すると以下の表示になります。
原因②:Domain service が停止している
「●● Domain service」が停止している場合も、「AD status:Reading winbind reply failed!」が発生します。(●● の部分は AD ドメインの NetBIOS 名が入ります)
当該サービスの稼働状況は [管理 » サーバー・マネージャー » サーバー設定 – <ホスト名>] 画面のサービス・コントロールタブの下部で確認できます。
対応方法
サービス・コントロール画面で「●● Domain service」の右側にある [開始] ボタンをクリックして当該サービスを開始します。
ドメイン参加と Domain service に問題がない場合
AD ドメイン参加ができていて、Domain service の状態も実行中になっているにもかかわらず「AD status:Reading winbind reply failed!」が発生する場合は以下を試します。
- Domain service の再起動(一旦停止し、開始する)
- AD ドメインへの再参加(Leave AD Domain をした後、Join AD Domain を実施)
備考
- サービスの認証方式が EAP-TLS、認証ソースが AD となっている場合については、AD ドメインに参加していなくても認証が成功する
―――――――――――――