Aruba ClearPassとの統合のトラブルシューティング

アクセストラッカー

Aruba ClearPassで、[ Monitoring > Access Tracker ]に移動し、認証エラーを確認します。使用している認証の種類に基づいて、ユーザー名または MAC アドレスを使用して認証リクエストを探します。

アクセストラッカーにMACアドレスまたはユーザー名の要求がない場合は、イベントビューアに移動します。このトピックの「 イベント ビューア : NAD および共有シークレット エラー 」セクションを参照してください。

MACアドレスまたはユーザ名がアクセストラッカーにあるが、[ログインステータス]が[拒否]の場合は、リクエストを開いて[ アラート ]タブに移動し、拒否の理由を確認します。

さまざまな拒否理由については、このトピックの「 拒否理由 」セクションを参照してください。

拒否理由

却下される理由としては、以下のことが考えられます。

• Service categorization failed:ClearPass の着信要求は、ユーザーが接続しようとしている SSID 用に設定されたどのサービスにも分類されません。[ 設定 >サービス(Configuration Services )] のサービスルールで必要な修正を行い>設定済みのサービスを選択します。

  

• [ユーザーが見つかりません(User not found)]:このエラーは、サービスで設定された認証ソースにユーザーがリストされていないことを意味します。適切なソース (静的ホスト リスト、ローカル ユーザー リポジトリ、ゲスト ユーザー リポジトリ、エンドポイント リポジトリ、または Active Directory) がサービスに追加されているかどうかを確認します。

  

  

• 適切な認証方法を選択できません - このエラーは、間違った認証方法がサービスに追加された場合に表示されます。MAC認証の場合、方式は[MAC AUTH]または[ALLOW ALL MAC AUTH]のいずれかである必要があります。dot1x の場合、ユーザ名とパスワードを使用する場合は [EAP PEAP]、[MSCHAPv2]、証明書ベースの認証が必要な場合は [TLS]、ゲスト認証が実行される場合は [PAP] となります。また、dot1x 認証のクライアント デバイスのサプリカント プロファイルをチェックし、正しい認証方法と認証モードで構成されていることを確認します。

  

  

• [ポリシー サーバに要求を送信できません(Cannot send request to policy server)]:このエラーは、ポリシー サービスがサーバ上で実行されていない場合に表示されます。ステータスを確認するには、CLIに移動して service status allコマンドを入力します。

  

• ログオン失敗 - このエラーは、ユーザーが間違ったパスワードを入力したことを意味します。

  

• winbind 応答の読み取りに失敗しました。

  

  このエラーは、次の 2 つの理由が原因である可能性があります。

  • ClearPassはADドメインに追加されません。[ 管理 ] > [サーバー マネージャー ] > [サーバー構成] に移動し、サーバーを選択します。

    

• AD からの応答に遅延があります。これは、アクセストラッカーリクエストの「 ログを表示 」ボタンをクリックすることで確認できます。遅延は 500 ミリ秒未満である必要があります。AD側で、応答の送信に遅延がある理由を確認します。

イベント ビューア : NAD および共有シークレット エラー

アクセストラッカーにMACまたはユーザー名の要求がない場合は、イベントビューアに移動し、[認証]カテゴリでイベントを探します。その場合は、エラーを開いてさらに調査してください。

• 不明なNADからの要求—このエラーについては、[設定]>[ネットワーク>デバイス]に移動し、APのIPアドレス/サブネットまたはIP範囲が追加され、正しいベンダーが選択されているかどうかを確認します。必要に応じて修正します。

  

  

• 共有秘密が正しくありません—AP とサーバーの両方で正しい共有秘密が設定されていることを確認してください。

  

イベント ビューアにイベントがない場合は、AP から RADIUS サーバへの到達可能性を確認します。