Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Текущий »

Введение

Для успешной авторизации пользовательского устройства в общем случае требуется что бы запросы аутентификации RADIUS от сетевого устройства попали под требуемые политики, пользователь был найден в источнике идентификаций, а его пароль прошел проверку.

Все попытки подключения пользователей отображаются в разделе Мониторинг → RADIUS → Пользовательские сессии:

Более подробно о работе с данной страницей можно узнать во встроенной документации нажав  в нижнем левом углу страницы.

По умолчанию в таблице не отображается колонка Причина ошибки подключения. Для наблюдения за ошибками подключений пользователей прямо из таблицы (не открывая подробности сессии) может быть полезно включить отображение данной колонки.


Ошибка User not found in identity sources

При возникновении данной ошибки логин пользователя не отображается в колонке "Пользователь"!

Ошибка "User not found in identity sources" появляется когда логин пользователя не найден ни в одном источнике идентификаций, которые используется в цепочке идентификаций указанной в политике аутентификации, под которую попал RADIUS-запрос.

Соответственно, есть три причины почему пользователь может быть не найден:

  • некорректно указан логин пользователя, и такой учетной записи действительно не существует;
  • некорректно указаны логические условия, из-за чего RADIUS-запрос подпадает и обрабатывается не под ожидаемым набором политик или правилом политики аутентификации;
  • источник, в котором находится УЗ пользователя, не добавлен в используемую в политике аутентификации цепочку идентификации.


Для дальнейшей диагностики требуется в колонке "Подробнее" нажать на кнопку , после чего в новом окне браузера откроется детальная информация по сессии пользователя:

В первую очередь требуется проверить корректность ввода логина пользователем на клиентском устройстве. Для этого необходимо раскрыть блок "Прочие атрибуты", нажав на поле указанного блока.

В данном блоке в формате JSON отображаются данные, полученные из RADIUS запроса сетевого устройства, которые отправляются при попытке подключения пользовательского устройства.

Пример отображения атрибутов 
[
  {
    "name": "Service-Type",
    "type": "integer",
    "value": [
      "Framed-User"
    ]
  },
  {
    "name": "NAS-IP-Address",
    "type": "ipaddr",
    "value": [
      "100.127.0.10"
    ]
  },
  {
    "name": "Event-Timestamp",
    "type": "date",
    "value": [
      "Nov 14 2025 06:24:20 UTC"
    ]
  },
  {
    "name": "EAP-Message",
    "type": "octets",
    "value": [
      "\u0002\u0002\u0000\u0006\u0003\u0019"
    ]
  },
  {
    "name": "NAS-Port-Id",
    "type": "string",
    "value": [
      "gigabitethernet1/0/1"
    ]
  },
  {
    "name": "NAS-Port-Type",
    "type": "integer",
    "value": [
      "Ethernet"
    ]
  },
  {
    "name": "User-Name",
    "type": "string",
    "value": [
      "ivan.ivanov"
    ]
  },
  {
    "name": "Calling-Station-Id",
    "type": "string",
    "value": [
      "A8-F9-4B-00-00-01"
    ]
  },
  {
    "name": "State",
    "type": "octets",
    "value": [
      ")DDù)FIZ@mFïG÷Ÿ£"
    ]
  },
  {
    "name": "EAP-Type",
    "type": "integer",
    "value": [
      "NAK"
    ]
  },
  {
    "name": "Acct-Session-Id",
    "type": "string",
    "value": [
      "05000808"
    ]
  },
  {
    "name": "Message-Authenticator",
    "type": "octets",
    "value": [
      "…\u000eóÀ÷“–\rñ*\u0011\u0011e\u0015.Ø"
    ]
  },
  {
    "name": "Called-Station-Id",
    "type": "string",
    "value": [
      "E0-D9-E3-EB-64-41"
    ]
  },
  {
    "name": "NAS-Port",
    "type": "integer",
    "value": [
      "49.0"
    ]
  }
]

Найти атрибут "User-Name", содержащий указанный пользователем логин :

   {
    "name": "User-Name",
    "type": "string",
    "value": [
      "ivan.ivanov"
    ]
  },

Проверить соответствие логина вводимого пользователем логину в используемых в цепочке источниках идентификации и при необходимости исправить его.


Следующим шагом требуется внимательно изучить блок "Общая информация":

В этом блоке требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики → Наборы политик, перейти в настройку набора политик из определенного Policy set и проверить корректность настройки условия политики аутентификации, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.

Отсутствие значения в Authorization policy и Authorization profile в случае данной ошибки является корректным поведением, т.к. пользователь не был найден на стадии аутентификации и дальнейшая проверка не выполнялась.


Если Policy set и Authentication policy определены корректно, требуется перейти в раздел Администрирование → Управление идентификацией → Цепочки идентификаций, открыть цепочку, которая используется в настройках Authentication policy, и проверить используется ли в ней требуемый источник идентификаций, в котором ожидается проверка логина пользователя.

Ошибка FAILURE

Ошибка Failure как правило возникает при отказе в авторизации согласно профилю авторизации DenyAccess. При этом логин пользователя найден в источнике идентификаций и отображается разделе Мониторинг → RADIUS → Пользовательские сессии:

Для дальнейшей диагностики требуется в колонке "Подробнее" нажать на кнопку после чего в новом окне браузера откроется детальная информация по сессии пользователя.

Следующим шагом требуется внимательно изучить блок "Общая информация":

В этом блоке требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.
  • Authorization policy - проверить, соответствует ли ли определенная политика требуемой. Если нет - перейти в раздел Политики → Наборы политик, провалится в политику определенную в Policy set и проверить корректность настройки условия политики авторизации, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при авторизации пользователя.
  • Authorization profile - проверить, соответствует ли определенный профиль ожидаемому и при необходимости исправить.

    В приведенном выше примере определен профиль авторизации DenyAccess. В рамках одной политики авторизации можно указать несколько профилей авторизации. Но если среди них используется профиль авторизации по умолчанию DenyAccess - он имеет безусловный приоритет над всеми остальными профилями, что привете к запрету авторизации в данной политике авторизации.

Ошибка Suitable authorization profile/s was not found

Ошибка "Suitable authorization profile/s was not found" возникает в ситуации, когда в политике авторизации не удалось найти профиль авторизации, у которого профиль устройства совпадает с профилем устройства, с которого приходят RADIUS запросы подключения пользователя. 

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:

В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.
  • Authorization policy - проверить, соответствует ли ли определенная политика требуемой. Если нет - перейти в раздел Политики → Наборы политик, перейти в настройку политики и проверить корректность настройки условия политики авторизации, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при авторизации пользователя.

Только после проверки корректности настройки политик имеет смысл переходить к дальнейшей диагностике.

Как видно на приведённом выше изображении, Authorization profile не определен, что и является причиной ошибки.

Следующим шагом требуется изучить информацию в блоке "Детали аутентификации":

В данной вкладке требуется обратить внимание на значение атрибутов: "Network device" и "NAS-IP-Address".

Перейти в настройки устройства, через которое пользователь выполняет авторизацию, на странице Администрирование → Сетевые ресурсы → Устройства, и проверить какой "Профиль" устройства используется в его настройках:

Запомнить наименование профиля устройства, выбранное настройке Профиль (в данном примере "Eltex MES").

После этого перейти в раздел Политики  → Наборы политик, провалиться в политику, под которую попадают запросы авторизации пользователя и в настройках политики авторизации, под которую попадает пользователь,  проверить какие профили авторизации в ней используются:

Запомнить наименование всех профилей авторизации, используемых в настройке "Профили авторизации" для политики авторизации пользователя.

Перейти в раздел Политики → Элементы → Профили авторизации и проверить для всех профилей авторизации, используемых в политике авторизации, выбранные в настройке "Профиль устройства" профиль устройства. Хотя бы для одного профиля авторизации, используемого в настройках политики авторизации, под которую попадает пользователь, должен совпадать выбранный "Профиль устройства" с настройкой "Профиль" у устройства, от которого поступают RADIUS запросы:

После этого требуется комплексно проанализировать настройки и выбрать один из следующих вариантов действий:

  1. Исправить профиль устройства в настройках сетевого устройства.

    При выполнении данного действия требуется проанализировать настройки и убедиться, что в настройках сетевого устройства точно указан некорректный профиль устройства. В противном случае это может повлиять на авторизацию пользователей в прочих политиках авторизации, где используется данный профиль устройства.

  2. Исправить профиль устройства в настройках профиля авторизации, который используется в политике авторизации.

    При выполнении данного действия требуется проанализировать в каких еще политиках авторизации используется данный профиль и убедиться, что в его настройках точно указан некорректный профиль устройства. В противном случае это может повлиять на авторизацию пользователей в прочих политиках авторизации, где используется данный профиль авторизации.

  3. Добавить новый профиль авторизации, в котором будет использоваться профиль устройства из настроек сетевого устройства и использовать данный профиль в политике авторизации, под которую попадает пользователь.

Ошибка mschap: MS-CHAP2-Response is incorrect

Ошибка возникает только при использовании клиентским устройством для аутентификации протокола  EAP-PEAP-MSCHAPv2 (наиболее популярным протоколом аутентификации по логину паролю фреймворка EAP).

Ошибка возможна только при использовании источников идентификации типа InternalDB или LDAP.

Ошибка "mschap: MS-CHAP2-Response is incorrect" происходит при аутентификации по протоколу EAP-PEAP-MSCHAPv2 при не совпадающем пароле в учетной записи пользователя и указанном в конфигурации подключения пользовательского устройства.

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:

В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.

В блоке "Детали аутентификации" требуется проверить:

  • Identity source - проконтролировать, соответствует источник идентификации ожидаемому.

Требуется исправить пароль пользователя в настройках клиентского устройства или в учетной записи источника идентификаций.

Ошибка C000006A:The specified network password is not correct

Ошибка возникает только при использовании клиентским устройством для аутентификации протокола  EAP-PEAP-MSCHAPv2 (наиболее популярным протоколом аутентификации по логину паролю фреймворка EAP).

Ошибка возможна только при использовании источника идентификации типа Active Directory.

Ошибка "mschap: MS-CHAP2-Response is incorrect" происходит при аутентификации по протоколу EAP-PEAP-MSCHAPv2 при не совпадающем пароле в учетной записи пользователя и указанном в конфигурации подключения пользовательского устройства.

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:

В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики доступа → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.

В блоке "Детали аутентификации" требуется проверить:

  • Identity source - проконтролировать, соответствует источник идентификации ожидаемому.

Требуется исправить пароль пользователя в настройках клиентского устройства или в учетной записи источника идентификаций.

Ошибка mschap-ad: Invalid output from ntlm_auth: expecting 'NT_KEY: ' prefix

Ошибка возникает только при использовании клиентским устройством для аутентификации протокола  EAP-PEAP-MSCHAPv2 (наиболее популярным протоколом аутентификации по логину паролю фреймворка EAP).

Ошибка возможна только при использовании источника идентификации типа Active Directory.

Ошибка "mschap-ad: Invalid output from ntlm_auth: expecting 'NT_KEY: ' prefix" происходит при аутентификации по протоколу EAP-PEAP-MSCHAPv2 в Active Directory при включенном запрете использовать для проверки пароля пользователя протокол NTLM.

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:

В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.

В блоке "Детали аутентификации" требуется проверить:

  • Identity source - проконтролировать, соответствует источник идентификации ожидаемому.

Требуется выполнить настроить групповые политики Active Directory таким образом, что бы они разрешали использовать протокол NTLM для проверки пароля пользователя.

Ошибка eap: Failed continuing EAP GTC (6) session.  EAP sub-module failed

Ошибка возникает только при использовании клиентским устройством для аутентификации протокола  EAP-PEAP-GTC (протокол аутентификации по логину паролю фреймворка EAP может использоваться ОС семейства Linux или Android).

Ошибка возможна только при использовании источника идентификации типа Active Directory.

Ошибка "eap: Failed continuing EAP GTC (6) session.  EAP sub-module failed" происходит если клиентское устройство пытается авторизоваться в источнике Active Directory используя протокол EAP-PEAP-GTC. Данный протокол не поддерживается при проверке пароля пользователя в источнике идентификаций типа Active Directory.

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:

В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.

В блоке "Детали аутентификации" требуется проверить:

  • Identity source - проконтролировать, соответствует источник идентификации ожидаемому.

Требуется исправить используемый протокол в настройках клиентского устройства.

Ошибка pap: NT digest does not match "known good" digest

Ошибка возникает только при использовании клиентским устройством для аутентификации протокола  EAP-PEAP-GTC (протокол аутентификации по логину паролю фреймворка EAP может использоваться ОС семейства Linux или Android).

Ошибка возможна только при использовании источников идентификации типа InternalDB.

Ошибка "pap: NT digest does not match "known good" digest" происходит при аутентификации по протоколу EAP-PEAP-GTC при не совпадающем пароле в учетной записи пользователя и указанном в конфигурации подключения пользовательского устройства.

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:

В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.

В блоке "Детали аутентификации" требуется проверить:

  • Identity source - проконтролировать, соответствует источник идентификации ожидаемому.

Требуется исправить пароль пользователя в настройках клиентского устройства или в учетной записи источника идентификаций.

Ошибка pap: Cleartext password does not match "known good" password

Ошибка возникает только при использовании клиентским устройством для аутентификации протокола  EAP-PEAP-GTC (протокол аутентификации по логину паролю фреймворка EAP может использоваться ОС семейства Linux или Android).

Ошибка возможна только при использовании источников идентификации типа LDAP.

Ошибка "pap: Cleartext password does not match "known good" password" возможна в случае:

  • При выполнении аутентификации по протоколу EAP-PEAP-GTC при не совпадающем пароле в учетной записи пользователя и указанном в конфигурации подключения пользовательского устройства.
  • Пароль пользователя задан в источнике типа LDAP не в формате "Plaintext".

Для диагностики требуется открыть вкладку "Подробнее" для сессии пользователя:

В блоке "Общая информация" требуется проверить:

  • Policy set - соответствует ли определенная политика требуемой. Если нет - перейти в раздел Политики → Наборы политик и проверить корректность настройки условия политики, под которое как ожидается должны попадать RADIUS запросы от сетевого устройства при аутентификации пользователя.
  • Authentication policy - проконтролировать, соответствует ли определенная политика требуемой.

В блоке "Детали аутентификации" требуется проверить:

  • Identity source - проконтролировать, соответствует источник идентификации ожидаемому.

Требуется:

  1. Исправить пароль пользователя в настройках клиентского устройства или в учетной записи источника идентификаций.
  2. Проверить в каком формате задан пароль пользователя в источнике аутентификации типа LDAP и при необходимости сменить его формат на "Plaintext".
  • Нет меток