在此页面上
排除与 Aruba ClearPass 的集成问题
总结 解决使用 Aruba ClearPass 处理网络身份验证/授权的问题。
本主题提供一些在 ClearPass 中进行故障排除的提示。有关 ClearPass 的最新信息,请参阅 ClearPass 支持网站。
访问跟踪器
在 Aruba ClearPass 中,转到 监控 > 访问跟踪器 并检查身份验证失败。根据您使用的身份验证类型,使用用户名或 MAC 地址查找身份验证请求。
如果访问跟踪器中没有请求 MAC 地址或用户名,请转到事件查看器。请参阅本主题的事件 查看器:NAD 和共享机密错误 部分。
如果 MAC 地址或用户名位于访问跟踪器中,但登录状态为“拒绝”,请打开请求并导航到 “警报 ”选项卡以查看拒绝原因。
有关各种拒绝原因的帮助,请参阅本主题的 拒绝原因 部分。
拒绝原因
拒绝的可能原因是:
服务分类失败 — ClearPass 上的传入请求未分类到为用户尝试连接到的 SSID 配置的任何服务下。在“配置>服务”下的服务规则中进行必要的更正>选择配置的服务。
-
未找到用户 - 此错误表示用户未在服务中配置的身份验证源中列出。查看服务中是否添加了适当的源(静态主机列表、本地用户存储库、来宾用户存储库、端点存储库或活动目录)。
-
无法选择适当的身份验证方法 - 在服务中添加错误的身份验证方法时,会出现此错误。对于 MAC 身份验证,方法应为 [MAC 身份验证] 或 [允许所有 MAC 身份验证]。对于 dot1x,它应该是 [EAP PEAP],当使用用户名和密码时,它应该是 [MSCHAPv2],当需要基于证书的身份验证时,它应该是 [TLS],在执行来宾身份验证时应该是 [PAP]。还要检查客户端设备上的请求方配置文件以进行 dot1x 身份验证,并确保将其配置为正确的身份验证方法和身份验证模式。
无法向策略服务器发送请求 - 如果服务器上未运行策略服务,则会出现此错误。要检查状态,请转到 CLI 并输入命令
service status all
。登录失败 - 此错误表示用户提供了不正确的密码。
读取 winbind 回复失败。
此错误可能是由于两个不同的原因造成的:
-
ClearPass 不會添加到 AD 域。转到“ 管理 ”> “服务器管理器 ”> “服务器配置”,然后选择服务器。
-
-
AD 的响应存在延迟。这可以通过单击访问跟踪器请求上的 显示日志 按钮来验证。延迟应小于 500 毫秒。检查 AD 端,了解发送响应延迟的原因。
事件查看器:NAD 和共享机密错误
如果访问跟踪器中没有对 MAC 或用户名的请求,请导航到事件查看器并在“身份验证”类别中查找任何事件。如果是这样,请打开错误并进一步调查。
-
来自未知 NAD 的请求 — 对于此错误,请导航到“网络>设备配置 ”>检查是否已添加 AP 的 IP 地址/子网或 IP 范围,以及是否选择了正确的供应商。根据需要进行更正。
-
共享密钥不正确 — 确保在 AP 和服务器上配置了正确的共享密钥。
如果事件查看器中没有事件,请检查从 AP 到 RADIUS 服务器的可访问性。