Protokoll- & häufige Fehler

Keine passende EAP-Session für den Zustand

Entsprechende Fehlermeldungen:

• „Keine passende EAP-Session für den Zustand“

• „Übergeordnete Liste konnte nicht festgelegt werden“

Das RADIUS-Protokoll ist zustandslos und da es normalerweise über UDP übertragen wird, muss es validieren, ob alle Pakete angekommen sind, ob ihre Integrität erhalten ist, ob sie in der richtigen Reihenfolge korrekt zusammengesetzt werden können usw., wodurch im Wesentlichen die Schwächen des UDP-Protokolls ausgeglichen werden.

Jede Authentifizierungsanforderung durchläuft eine Reihe von Schritten, die ausgeführt werden müssen (z. B. Zuordnung, Anforderung, Challenge, Challenge-Response). Für diese Schritte haben beide Seiten (Client und Server) einen Zustand, der im gesendeten Paket enthalten ist, und einen Zustand, der lokal gespeichert ist. Diese Zustände müssen jeweils mit dem Schritt übereinstimmen, in dem sich Client und Server derzeit befinden.

Die Fehlermeldung weist darauf hin, dass einer der Akteure (Client, Server) ein Paket gesendet oder empfangen hat, das nicht dem erwarteten Zustand entspricht. Diese Fehler treten gelegentlich auf, da UDP nicht garantieren kann, dass Pakete immer (korrekt oder überhaupt) zugestellt werden. In den meisten Fällen ist das kein Problem, da das RADIUS-Protokoll diese Fehler verarbeitet und die Verbindung erneut initiiert, ohne dass der Computer, der sich anmelden möchte, dies bemerkt.

Wenn die Geräte schließlich ohne spürbare Verzögerungen eine Verbindung herstellen können, können solche Fehler ignoriert werden. Ist das nicht der Fall, versuchen Sie Ihre EAP-Timeouts zu erhöhen.

Proxy-Session-Wiederaufnahme

Ihre Proxys erstellen eine TCP-Session mit Ihrem/ Ihren RadSec-Server(n). Diese Sessions müssen alle 30 Sekunden neu initiiert werden. Solange in diesen Meldungen kein Fehler auftritt, sind diese Protokolleinträge zu erwarten.

Fehler im Fehler

Da Ihre RadSec-Server weltweit verfügbar sind, kann jeder im Internet versuchen, eine Verbindung zu ihnen herzustellen, z. B. über einen TCP-Handshake. Wenn keine gültige (gegenseitige) TLS-Verbindung hergestellt werden kann (was nur funktioniert, wenn die verbindende Entität ein vertrauenswürdiges RadSec-Client-Zertifikat vorlegt), wird diese Fehlermeldung erzeugt und erwartet.

Da RADIUSaaS nicht zwischen jemandem unterscheiden kann, der Server im Internet scannt/abklappert, und einem legitimen Authentifikator, der einfach falsch konfiguriert ist, unterdrückt RADIUSaaS diese Protokolleinträge nicht. Das bedeutet: Wenn Ihre Infrastruktur einwandfrei funktioniert, können Sie diese Protokolleinträge ignorieren.

Der Zertifikatsstatus wurde zuvor widerrufen

Wenn ein Zertifikat als widerrufen erkannt wird, wird dieser Status für 2 Minuten zwischengespeichert. Weitere Versuche, dieses Zertifikat zu authentifizieren, werden direkt abgelehnt, ohne dass eine weitere OCSP-Anfrage durchgeführt wird. Dies geschieht, um die Last auf dem OCSP-Responder zu reduzieren.

Die Verify-Description Feld wird die Korrelations-ID der ursprünglich abgelehnten Anfrage enthalten.