本页内容
排除与 Aruba ClearPass 集成的故障
使用 Aruba ClearPass 处理网络身份验证/授权的问题。
本主题提供一些在 ClearPass 中进行故障排除的提示。有关 ClearPass 的最新信息,请访问 ClearPass 支持站点。
访问跟踪器
在 Aruba ClearPass 中,转至 监控 > Access Tracker 并检查身份验证失败。根据您使用的身份验证类型,使用用户名或 MAC 地址查找身份验证请求。
如果访问跟踪器中没有对 MAC 地址或用户名的请求,请转到事件查看器。请参阅本主题的 “事件查看器:NAD和共享密钥错误 ”部分。
如果 MAC 地址或用户名在访问跟踪器中,但登录状态为拒绝,请打开请求并导航到 警报 选项卡以查看拒绝原因。
有关各种拒绝原因的帮助,请参阅本主题的 拒绝原因 部分。
拒绝理由
被拒绝的可能原因是:
服务分类失败 — ClearPass 上的传入请求未归类到为用户尝试连接的 SSID 配置的任何服务下。在“配置>服务”>下的“服务规则”中进行必要的更正 选择配置的服务。
-
未找到用户 — 此错误表示用户未在服务中配置的身份验证源中列出。查看服务中是否添加了适当的源(静态主机列表、本地用户存储库、来宾用户存储库、端点存储库或 Active Directory)。
-
无法选择适当的身份验证方法 - 当服务中添加错误的身份验证方法时,将出现此错误。对于 MAC 身份验证,方法应为 [MAC AUTH] 或 [ALLOW ALL MAC AUTH]。对于 dot1x,当使用用户名和密码时,它应该是 [EAP PEAP],当需要基于证书的身份验证时,它应该是 [MSCHAPv2],当需要基于证书的身份验证时,它应该是 [PAP],当正在执行来宾身份验证时,它应该是 [PAP]。此外,检查客户端设备上的请求方配置文件中的 dot1x 身份验证,并确保将其配置为正确的身份验证方法和身份验证模式。
无法向策略服务器发送请求 — 如果服务器上未运行策略服务,则会出现此错误。要检查状态,请转至 CLI 并输入命令
service status all。
登录失败 - 此错误表示用户提供的密码不正确。
读取 winbind 回复失败。
此错误可能是由于两个不同的原因:
-
ClearPass 不会添加到 AD 域中。转到“ 管理 ”> “服务器管理器 ”> “服务器配置”,然后选择服务器。
-
-
AD 的响应有延迟。这可以通过单击访问跟踪器请求上的 “显示日志 ”按钮来验证。延迟应小于 500 毫秒。在 AD 端检查为什么发送响应会有延迟。
事件查看器:NAD 和共享密钥错误
如果访问跟踪器中没有对 MAC 或用户名的请求,请导航到事件查看器并在“身份验证”类别中查找任何事件。如果是这样,请打开错误并进一步调查。
-
来自未知 NAD 的请求 — 对于此错误,请导航到配置>网络>设备,然后检查是否添加了接入点的 IP 地址/子网或 IP 范围,以及是否选择了正确的供应商。根据需要进行更正。
-
共享密钥不正确 — 确保在接入点和服务器上都配置了正确的共享密钥。
如果事件查看器中没有事件,请检查从 AP 到 RADIUS 服务器的可访问性。