Windows Server2012にて、NPSでRadius認証をしようとしています。
Radiusクライアントは、Cisco ASAとCatalystでADユーザを使用して、ログイン認証の設定をしています。
問題は、ASAでは認証が通るのに、Catalystでは同一ユーザでもRejectされるという現象です。
イベントログは下記のようになります。
============================================
ネットワーク ポリシー サーバーがユーザーのアクセスを拒否しました。
詳細については、ネットワーク ポリシー サーバーの管理者に問い合わせてください。
ユーザー:
セキュリティ ID: NULL SID
アカウント名: xxxxxx
アカウント ドメイン: yyyyyy
完全修飾アカウント名: yyyyyy\xxxxx
クライアント コンピューター:
セキュリティ ID: NULL SID
アカウント名: -
完全修飾アカウント名: -
OS バージョン: -
被呼端末 ID: -
起呼端末 ID: -
NAS:
NAS IPv4 アドレス: 192.168.0.253
NAS IPv6 アドレス: -
NAS ID: -
NAS ポートの種類: 仮想
NAS ポート: 2
RADIUS クライアント:
クライアントのフレンドリ名: catalyst01
クライアント IP アドレス: 192.168.0.253
認証の詳細:
接続要求ポリシー名: すべてのユーザーに Windows 認証を使用
ネットワーク ポリシー名: -
認証プロバイダー: Windows
認証サーバー: xxx.yyyy.zzz
認証の種類: PAP
EAP の種類: -
アカウントのセッション ID: -
ログ結果: アカウンティング情報はローカルのログ ファイルに書き込まれました。
理由コード: 16
理由: ユーザー資格情報の不一致のため、認証に失敗しました。入力したユーザー名が既存のユーザー アカウントにマップされていないか、パスワードが間違っています。
=============================================
下記が認証成功時のイベントログです。
=============================================
ホストが定義済みの正常性ポリシーを満たしていたため、ネットワーク ポリシー サーバーはユーザーにフル アクセスを許可しました。
ユーザー:
セキュリティ ID: yyyyyy\xxxxx
アカウント名: xxxxxx
アカウント ドメイン: yyyyyy
完全修飾アカウント名: yyyyy.local/Staff/xxxxxx
クライアント コンピューター:
セキュリティ ID: NULL SID
アカウント名: -
完全修飾アカウント名: -
OS バージョン: -
被呼端末 ID: -
起呼端末 ID: ip:source-ip=192.168.100.6
NAS:
NAS IPv4 アドレス: 192.168.0.200
NAS IPv6 アドレス: -
NAS ID: -
NAS ポートの種類: 仮想
NAS ポート: 60
RADIUS クライアント:
クライアントのフレンドリ名: asa01
クライアント IP アドレス: 192.168.0.200
認証の詳細:
接続要求ポリシー名: すべてのユーザーに Windows 認証を使用
ネットワーク ポリシー名: tky internal
認証プロバイダー: Windows
認証サーバー: xxx.yyyy.zzz
認証の種類: PAP
EAP の種類: -
アカウントのセッション ID: -
検疫情報:
結果: フル アクセス
拡張結果: -
セッション ID: -
ヘルプ URL: -
システム正常性検証ツールの結果: -
=============================================
Radiusのパケットをキャプチャしたところ、認証が成功したパケットでは、
User-Name(1)の後にUser-Password(2)がありましたが、
認証が失敗したパケットではUser-NameとUser-Passwordの間に、
Reply-Message(18)が入っていました。
これが影響しているのでしょうか?
このCatalystでの認証は、FreeRadiusを使用すれば問題なくできました。
どうすれば、このCatalystで正常に認証できるようになるのかご教示ください。
