Введение

Для успешной авторизации пользовательского устройства в общем случае требуется что бы запросы аутентификации RADIUS от сетевого устройства попали под требуемые политики, пользователь был найден в источнике идентификаций, а его пароль прошел проверку.

Все попытки подключения пользователей отображаются в разделе Мониторинг → RADIUS → пользовательские сессии:


Более подробно о работе с данной страницей можно узнать во встроенной документации нажав кнопку в верхнем правом углу страницы.

Ошибка User not found in identity sources

Ошибка "User not found in identity sources" появляется когда логин пользователя не найден ни в одном источнике идентификаций, которые используется в цепочке идентификаций указанной в политике аутентификации, под которую попал RADIUS-запрос.

При возникновении данной ошибки логин пользователя не отображается в колонке "Пользователь"!

Для дальнейшей диагностики требуется в колонке "Подробнее" нажать на кнопку после чего в новом окне браузера откроется детальная информация по сессии пользователя.

В первую очередь требуется проверить корректность ввода логина пользователем на клиентском устройстве. Для этого надо раскрыть блок "Прочие атрибуты" нажав на поле указанного блока:

В данном блоке в формате JSON отображаются данные, полученные из RADIUS запроса сетевого устройства, которые отправляются при попытке подключения пользовательского устройства.

Пример отображения атрибутов 
[
  {
    "name": "Service-Type",
    "type": "integer",
    "value": [
      "Framed-User"
    ]
  },
  {
    "name": "NAS-IP-Address",
    "type": "ipaddr",
    "value": [
      "100.123.0.10"
    ]
  },
  {
    "name": "Event-Timestamp",
    "type": "date",
    "value": [
      "Mar 23 2025 14:00:37 +07"
    ]
  },
  {
    "name": "EAP-Message",
    "type": "octets",
    "value": [
      "\u0002\u0002\u0000\u0006\u0003\u0019"
    ]
  },
  {
    "name": "NAS-Port-Id",
    "type": "string",
    "value": [
      "gigabitethernet1/0/2"
    ]
  },
  {
    "name": "NAS-Port-Type",
    "type": "integer",
    "value": [
      "Ethernet"
    ]
  },
  {
    "name": "User-Name",
    "type": "string",
    "value": [
      "ivan"
    ]
  },
  {
    "name": "Calling-Station-Id",
    "type": "string",
    "value": [
      "A8-F9-4B-00-00-01"
    ]
  },
  {
    "name": "State",
    "type": "octets",
    "value": [
      "-Ô*j-Ö'Y.ñ(1)^<D"
    ]
  },
  {
    "name": "EAP-Type",
    "type": "integer",
    "value": [
      "NAK"
    ]
  },
  {
    "name": "Acct-Session-Id",
    "type": "string",
    "value": [
      "0500031C"
    ]
  },
  {
    "name": "Message-Authenticator",
    "type": "octets",
    "value": [
      "5D7ö®™äË\u0005+sLb«–Ü"
    ]
  },
  {
    "name": "Called-Station-Id",
    "type": "string",
    "value": [
      "E0-D9-E3-EB-64-42"
    ]
  },
  {
    "name": "NAS-Port",
    "type": "integer",
    "value": [
      "50"
    ]
  }
]

Найти атрибут "User-Name", содержащий указанный пользователем логин :

   {
    "name": "User-Name",
    "type": "string",
    "value": [
      "ivan"
    ]
  },

Проверить соответствие логина вводимого пользователем логину в источнике идентификаций и необходимости исправить его.


Следующим шагом требуется внимательно изучить блок "Общая информация":

В этом блоке требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик, провалится в политику определенную в Policy set и проверить корректность настройки условия политики аутентификации, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.

Отсутствие значения в Authorization policy в случае данной ошибки является корректным поведением, т.к. пользователь не был найден на стадии аутентификации и дальнейшая проверка не выполнялась.

Если Policy set и Authentication policy определены корректно, требуется перейти в раздел Администрирование → Управление идентификацией → Цепочки идентификаций, открыть цепочку, которая используется в настройках Authentication policy и проверить используется ли в ней требуемый источник идентификаций, в котором ожидается проверка логина пользователя.

Ошибка FAILURE

Ошибка Failure как правило возникает при отказе в авторизации. При этом логин пользователя найден в источнике идентификаций и отображается разделе Мониторинг → RADIUS → пользовательские сессии:

Для дальнейшей диагностики требуется в колонке "Подробнее" нажать на кнопку после чего в новом окне браузера откроется детальная информация по сессии пользователя.

Следующим шагом требуется внимательно изучить блок "Общая информация":

В этом блоке требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.
  • Authorization policy - проверить, соответствует ли ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик, провалится в политику определенную в Policy set и проверить корректность настройки условия политики авторизации, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при авторизации пользователя.
  • Authorization profile - проверить, соответствует ли определенный профиль ожидаемому и при необходимости исправить.

    В приведенном выше примере определен профиль авторизации DenyAccess. В рамках одной политики авторизации можно указать несколько профилей авторизации. Но если среди них используется профиль авторизации по умолчанию DenyAccess - он имеет безусловный приоритет над всеми остальными профилями, что привете к запрету авторизации в данной политике авторизации.

Ошибка Suitable authorization profile/s was not found

Ошибка "Suitable authorization profile/s was not found" возникает в ситуации, когда в политике авторизации не найден профиль авторизации, у которого профиль устройства совпадает с профилем устройства, выбранного в настройках  устройства, с которого приходят RADIUS запросы подключения пользователя.

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:

В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.
  • Authorization policy - проверить, соответствует ли ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик, провалится в политику определенную в Policy set и проверить корректность настройки условия политики авторизации, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при авторизации пользователя.

Только после проверки корректности настройки политик имеет смысл переходить к дальнейшей диагностике.

Как видно на приведённом выше изображении, Authorization profile не определен, что и является причиной ошибки.

Следующим шагом требуется изучить информацию в блоке "Детали аутентификации":

В данной вкладке требуется обратить внимание на значение атрибутов: "Network device" и "NAS-IP-Address".

Перейти в настройки устройства, через которое пользователь выполняет авторизацию, на странице Администрирование → Сетевые ресурсы → Устройства, и проверить какой "Профиль" устройства используется в его настройках:

Запомнить наименование профиля устройства, выбранное настройке Профиль (в данном примере "Eltex MES").

После этого перейти в раздел Политики доступа → Наборы политик, провалиться в политику, под которую попадают запросы авторизации пользователя и в настройках политики авторизации, под которую попадает пользователь,  проверить какие профили авторизации в ней используются:

Запомнить наименование всех профилей авторизации, используемых в настройке "Профили авторизации" для политики авторизации пользователя.

Перейти в раздел Политики доступа → Элементы → Профили авторизации и проверить для всех профилей авторизации, используемых в политике авторизации, выбранные в настройке "Профиль устройства" профиль устройства. Хотя бы для одного профиля авторизации, используемого в настройках политики авторизации, под которую попадает пользователь, должен совпадать выбранный "Профиль устройства" с настройкой "Профиль" у устройства, от которого поступают RADIUS запросы:

После этого требуется комплексно проанализировать настройки и выбрать один из следующих вариантов действий:

  1. Исправить профиль устройства в настройках сетевого устройства.

    При выполнении данного действия требуется проанализировать настройки и убедиться, что в настройках сетевого устройства точно указан некорректный профиль устройства. В противном случае это может повлиять на авторизацию пользователей в прочих политиках авторизации, где используется данный профиль устройства.

  2. Исправить профиль устройства в настройках профиля авторизации, который используется в политике авторизации.

    При выполнении данного действия требуется проанализировать в каких еще политиках авторизации используется данный профиль и убедиться, что в его настройках точно указан некорректный профиль устройства. В противном случае это может повлиять на авторизацию пользователей в прочих политиках авторизации, где используется данный профиль авторизации.

  3. Добавить новый профиль авторизации, в котором будет использоваться профиль устройства из настроек сетевого устройства и использовать данный профиль в политике авторизации, под которую попадает пользователь.

Ошибка mschap: MS-CHAP2-Response is incorrect

Ошибка возникает только при использовании клиентским устройством для аутентификации протокола  EAP-PEAP-MSCHAPv2 (наиболее популярным протоколом аутентификации по логину паролю фреймворка EAP).

Ошибка возможна только при использовании источников идентификации типа InternalDB или LDAP.

Ошибка "mschap: MS-CHAP2-Response is incorrect" происходит при аутентификации по протоколу EAP-PEAP-MSCHAPv2 при не совпадающем пароле в учетной записи пользователя и указанном в конфигурации подключения пользовательского устройства.

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:

В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.

В блоке "Детали аутентификации" требуется проверить:

  • Identity source - проконтролировать, соответствует источник идентификации ожидаемому.

Требуется исправить пароль пользователя в настройках клиентского устройства или в учетной записи источника идентификаций.

Ошибка C000006A:The specified network password is not correct

Ошибка возникает только при использовании клиентским устройством для аутентификации протокола  EAP-PEAP-MSCHAPv2 (наиболее популярным протоколом аутентификации по логину паролю фреймворка EAP).

Ошибка возможна только при использовании источника идентификации типа Active Directory.

Ошибка "mschap: MS-CHAP2-Response is incorrect" происходит при аутентификации по протоколу EAP-PEAP-MSCHAPv2 при не совпадающем пароле в учетной записи пользователя и указанном в конфигурации подключения пользовательского устройства.

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:


В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.

В блоке "Детали аутентификации" требуется проверить:

  • Identity source - проконтролировать, соответствует источник идентификации ожидаемому.

Требуется исправить пароль пользователя в настройках клиентского устройства или в учетной записи источника идентификаций.

Ошибка mschap-ad: Invalid output from ntlm_auth: expecting 'NT_KEY: ' prefix

Ошибка возникает только при использовании клиентским устройством для аутентификации протокола  EAP-PEAP-MSCHAPv2 (наиболее популярным протоколом аутентификации по логину паролю фреймворка EAP).

Ошибка возможна только при использовании источника идентификации типа Active Directory.

Ошибка "mschap-ad: Invalid output from ntlm_auth: expecting 'NT_KEY: ' prefix" происходит при аутентификации по протоколу EAP-PEAP-MSCHAPv2 в Active Directory при включенном запрете использовать для проверки пароля пользователя протокол NTLM.

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:

В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.

В блоке "Детали аутентификации" требуется проверить:

  • Identity source - проконтролировать, соответствует источник идентификации ожидаемому.

Требуется выполнить настроить групповые политики Active Directory таким образом, что бы они разрешали использовать протокол NTLM для проверки пароля пользователя.

Ошибка eap: Failed continuing EAP GTC (6) session.  EAP sub-module failed

Ошибка возникает только при использовании клиентским устройством для аутентификации протокола  EAP-PEAP-GTC (протокол аутентификации по логину паролю фреймворка EAP может использоваться ОС семейства Linux или Android).

Ошибка возможна только при использовании источника идентификации типа Active Directory.

Ошибка "eap: Failed continuing EAP GTC (6) session.  EAP sub-module failed" происходит если клиентское устройство пытается авторизоваться в источнике Active Directory используя протокол EAP-PEAP-GTC. Данный протокол не поддерживается при проверке пароля пользователя в источнике идентификаций типа Active Directory.

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:

В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.

В блоке "Детали аутентификации" требуется проверить:

  • Identity source - проконтролировать, соответствует источник идентификации ожидаемому.

Требуется исправить используемый протокол в настройках клиентского устройства.

Ошибка pap: NT digest does not match "known good" digest

Ошибка возникает только при использовании клиентским устройством для аутентификации протокола  EAP-PEAP-GTC (протокол аутентификации по логину паролю фреймворка EAP может использоваться ОС семейства Linux или Android).

Ошибка возможна только при использовании источников идентификации типа InternalDB.

Ошибка "pap: NT digest does not match "known good" digest" происходит при аутентификации по протоколу EAP-PEAP-GTC при не совпадающем пароле в учетной записи пользователя и указанном в конфигурации подключения пользовательского устройства.

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:

В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.

В блоке "Детали аутентификации" требуется проверить:

  • Identity source - проконтролировать, соответствует источник идентификации ожидаемому.

Требуется исправить пароль пользователя в настройках клиентского устройства или в учетной записи источника идентификаций.

Ошибка pap: Cleartext password does not match "known good" password

Ошибка возникает только при использовании клиентским устройством для аутентификации протокола  EAP-PEAP-GTC (протокол аутентификации по логину паролю фреймворка EAP может использоваться ОС семейства Linux или Android).

Ошибка возможна только при использовании источников идентификации типа LDAP.

Ошибка "pap: Cleartext password does not match "known good" password" возможна в случае:

  • При выполнении аутентификации по протоколу EAP-PEAP-GTC при не совпадающем пароле в учетной записи пользователя и указанном в конфигурации подключения пользовательского устройства.
  • Пароль пользователя задан в источнике типа LDAP не в формате "Plaintext".

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:

В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.

В блоке "Детали аутентификации" требуется проверить:

  • Identity source - проконтролировать, соответствует источник идентификации ожидаемому.

Требуется:

  1. Исправить пароль пользователя в настройках клиентского устройства или в учетной записи источника идентификаций.
  2. Проверить в каком формате задан пароль пользователя в источнике аутентификации типа LDAP и при необходимости сменить его формат на "Plaintext".
  • Нет меток