はじめに
Aruba ClearPass Policy Manager (以下、CPPM) にて Radius 認証が動作した際に、イベントビューワーにて以下のようなエラーログが出力されて認証に失敗するケースがあります。
Source: RADIUS
Level: ERROR
Category: Authentication
Action: unknown
Description: RADIUS authentication attempt from unknown NAD <IPアドレス>:<ポート番号>
このエラーの原因と対応方法について記載します。
作業環境
- Aruba ClearPass Policy Manager 6.7.X
原因①:ネットワークデバイスの IP 設定誤り
CPPM の [設定>ネットワーク>デバイス] 画面で設定するデバイスの IP アドレス設定が誤っている、またはデバイス設定がされていない場合、unknown NAD エラーとなります。
対応方法
CPPM にて、デバイスの IP アドレス設定を正しい値に修正します。
デバイス設定がされていない場合はデバイス設定を追加します。
原因②:RadSec サーバ証明書の期限切れ
CPPM にインストールされているサーバ証明書の一つである RadSec サーバ証明書の期限が切れている場合も unknown NAD エラーとなります。
CPPM のイベントビューワーに以下のようなエラーログが出力されている場合は、RadSec サーバ証明書の期限が切れています。
Source: RADSEC
Level: ERROR
Category: Configuration
Action: Please install new certificate.
Description: Server Certificate has expired.
対応方法
CPPM で新しい RadSec サーバ証明書をインストールします。
以下の2つの方法があります。
- 自己署名証明書を作成してインストールする
- ルート証明機関で発行したサーバ証明書を RadSec 証明書としてインポートする
自己署名証明書の作成とインストール、およびルート証明機関で発行した証明書のインポートは CPPM の [管理>証明書>Certificate Store] 画面から実施します。
参考:Radius Key の不一致時のエラーログ
Radius オーセンティケータ側と CPPM のデバイス設定とで Radius Key が一致していない場合は、CPPM のイベントビューワー上に以下のようなエラーログが出力されます。
Source: RADIUS
Level: ERROR
Category: Authentication
Action: Unknown
Description: Failed to decode RADIUS packet - Received packet from <IPアドレス> with invalid Message-Authenticator! (Shared secret may be incorrect.)
―――――――――――――