同一の端末、ユーザIDで認証エラー(TIMEOUT)になる時と、認証成功になる時があるということでしょうか。
TIMEOUTの原因にもよりますのでアクセストラッカーのログをもう少し確認する必要があるかと思います。
例えばですが、以下のように警告タブにどのような表示がされているか、
右下の「ログの表示」をクリックすることで詳細ログを確認することもできます。
ログインステータスがTIMEOUTと表示されている場合、
認証リクエストがタイムアウトしているだけなので、以下の例ではユーザ認証のパスワードを間違っているときや、
RADIUSのサーバ証明書に問題があり、EAPトランザクションが完了しないときに表示されます。
特定のユーザでのみ常にTIMEOUTとなっている場合、そのユーザのパスワードや、端末のRADIUSサーバ証明書のValidationに問題があるかもしれません。
コメントいただいているコントローラの設定パラメータは、再認証に関するパラメータなので、
認証エラーとなっている場合は関係のないパラメータかと考えられます。
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------
Original Message:
Sent: Jan 12, 2022 06:31 AM
From: Kota Onohara
Subject: ClearPass 認証タイムアウトについて
MM-MD構成で認証サーバにClearPassを利用しています。
認証は802.1x認証(EAP-PEAP)を使用しております。
認証自体は問題なく動いておりますが、ClearPassのアクセストラッカーを確認すると、いくつかTIMEOUTのログが出てきます。
さらに、TIMEOUTになった端末をMD上のshow user-tableで確認すると、roleがdenyall(aaa-profileのinitial role)となります。
※接続後はauthenticated(802.1X Authentication Default Role)となっております。
タイムアウトになる原因と、時間経過でroleが802.1x認証前のdenyallに代わる原因として何か考えられることはありますでしょうか?
タイムアウト関連では下記設定があるかなと考えております。
間違っておりましたらご指摘いただければ幸いです。
・802.1X Authentication Profileの「Reauthentication Interval」のタイマー値
・802.1X Authentication Profileの「Use Server provided Reauthentication Interval」を有効 ※現在は無効
・802.1X Authentication Profileの「Reauthentication」を有効 ※現在は無効
・SSID Profileの「Station Ageout Time」のタイマー値
上記の設定をいじることで改善するものでしょうか?
以上です。よろしくお願いいたします。
------------------------------
Kota Onohara
------------------------------