【Aruba ClearPass】Radius 認証時に unknown NAD エラーとなる原因と対応

インフラサーバ

はじめに

Aruba ClearPass Policy Manager (以下、CPPM) にて Radius 認証が動作した際に、イベントビューワーにて以下のようなエラーログが出力されて認証に失敗するケースがあります。

Source: RADIUS
Level: ERROR
Category: Authentication
Action: unknown
Description: RADIUS authentication attempt from unknown NAD <IPアドレス>:<ポート番号>

このエラーの原因と対応方法について記載します。

作業環境

  • Aruba ClearPass Policy Manager 6.7.X

原因①:ネットワークデバイスの IP 設定誤り

CPPM の [設定>ネットワーク>デバイス] 画面で設定するデバイスの IP アドレス設定が誤っている、またはデバイス設定がされていない場合、unknown NAD エラーとなります。

対応方法

CPPM にて、デバイスの IP アドレス設定を正しい値に修正します。

デバイス設定がされていない場合はデバイス設定を追加します。

原因②:RadSec サーバ証明書の期限切れ

CPPM にインストールされているサーバ証明書の一つである RadSec サーバ証明書の期限が切れている場合も unknown NAD エラーとなります。

CPPM のイベントビューワーに以下のようなエラーログが出力されている場合は、RadSec サーバ証明書の期限が切れています。

Source: RADSEC
Level: ERROR
Category: Configuration
Action: Please install new certificate.
Description: Server Certificate has expired.

対応方法

CPPM で新しい RadSec サーバ証明書をインストールします。

以下の2つの方法があります。

  • 自己署名証明書を作成してインストールする
  • ルート証明機関で発行したサーバ証明書を RadSec 証明書としてインポートする

自己署名証明書の作成とインストール、およびルート証明機関で発行した証明書のインポートは CPPM の [管理>証明書>Certificate Store] 画面から実施します。

参考:Radius Key の不一致時のエラーログ

Radius オーセンティケータ側と CPPM のデバイス設定とで Radius Key が一致していない場合は、CPPM のイベントビューワー上に以下のようなエラーログが出力されます。

Source: RADIUS
Level: ERROR
Category: Authentication
Action: Unknown
Description: Failed to decode RADIUS packet - Received packet from <IPアドレス> with invalid Message-Authenticator! (Shared secret may be incorrect.)

―――――――――――――

タイトルとURLをコピーしました