AuthPoint をトラブルシューティングする
認証が期待通りに機能しない場合や障害が発生した場合は、レポート、アラート、監査ログを使用して問題をトラブルシューティングすることができます。始めるには、構成されたリソースの種類とアクセス ポリシーに基づいて、認証プロセスのすべてのステップを検討してください。認証プロセスの最後の手順からトラブルシューティングを開始し、そこから遡ります。
チェックすべきいくつかの項目の例を次に示します。
- ユーザーはプッシュ通知を受け取ったかどうか。(プッシュ認証が構成されている場合)
- 認証試行の監査ログがあるかどうか。
- Gateway が必要な認証フローの場合、Gateway ログにはどのような情報が表示されているか。
特定の AuthPoint の問題をトラブルシューティングする手順は、問題の種類や、認証プロセスに関係する AuthPoint と外部コンポーネントによって異なります。Gateway などの一部の AuthPoint のコンポーネントには、トラブルシューティングに役立つローカル ログ ファイルが含まれています。
AuthPoint をトラブルシューティングするツール
ほとんどの AuthPoint の問題をトラブルシューティングするには、AuthPoint のレポート、監査ログ、アラートを参照してください。
監査ログは、AuthPoint の問題をトラブルシューティングするための有用な開始地点となります。
開始するには、まず WatchGuard Cloud および AuthPoint Gateway のログ ファイルに表示される情報を参照します。
AuthPoint レポート
レポートには、AuthPoint のアクティビティとイベントに関する情報が示されています。トラブルシューティングに役立つレポートの一例を次に示します。
- 拒否されたプッシュ通知 — ユーザーがプッシュ通知を拒否したかどうかを確認します
- リソース アクティビティ — ユーザーが認証に失敗したリソースを確認します
- 認証 — 各ユーザーの認証失敗を確認します
- 同期アクティビティ — LDAP ユーザーの同期履歴を確認します
レポートの詳細については、次を参照してください:AuthPoint を監視する
アラート
WatchGuard Cloud は、通知ルールに基づいてイベントのアラートを生成します。たとえば、Gateway が接続または切断されたとき、およびユーザーがプッシュ認証要求を拒否したときにアラートが表示されます。通知ルールを追加することで、他の種類のアラートを生成することができます。
詳細については、次を参照してください:WatchGuard Cloud アラートを管理する
監査ログ
監査ログには、管理アクション、構成の変更、および AuthPoint イベントに関連するイベントが表示されます。認証イベントの場合、監査ログの詳細ウィンドウには、認証試行の詳細が表示されます。
WatchGuard Cloud の監査ログに記載されているエラー コードを、Gateway のイベントのログ メッセージや、Windows または Mac 用の IdP ポータルや Logon app の認証エラー メッセージに表示されているエラー コードと照合します。詳細については、次を参照してください:監査ログ
Gateway ログ ファイル
AuthPoint Gateway を使用する認証タイプについては、Gateway のログ ファイルを参照してください。ログ メッセージには、Gateway 操作と、RADIUS、LDAP、ADFS への接続に関する情報が含まれています。Gateway は、Gateway、RADIUS、LDAP、および ADFS の 4 つのサービスとして機能します。
各サービスによって、別のログ ファイルが作成されます。ログ メッセージには、ログ メッセージを関連する AuthPoint 監査ログ イベントやエラー メッセージに一致させる際に便利なユーザー名と Request ID が含まれます。
Gateway ログ ファイルは、次のディレクトリから入手することができます:C:\ProgramData\WatchGuard\AuthPoint\logs。
Windows では、ProgramData フォルダは既定で非表示になっています。このフォルダを開くには、Windows キー + R キー を押してから %ProgramData% と入力し、OK をクリックします。
AuthPoint のトラブルシューティングに役立つヒント
ここでは、特定の種類の認証や、AuthPoint コンポーネントの問題をトラブルシューティングする際に役立つヒントをご紹介します。ほとんどのケースにおいて、以下を探します。
- エラーに関連付けられているエラー コード
- エラーに関連付けられている Request ID
その後、この情報を使用して監査ログとログ メッセージを検索することができます。
AuthPoint Gateway のトラブルシューティング
AuthPoint Gateway は、次の 4 つのサービスとして機能します。
- Gateway — WatchGuard Cloud と通信し、残りの 3 つのサービスを構成します
- RADIUS — RADIUS クライアントと通信します
- LDAP — LDAP と通信します
- ADFS — ADFS と通信します
Windows サービス アプリを使用して、4 つのサービスすべてが実行していることを確認します。サービス アプリでは、この実行している 4 つのサービスは次のように表示されます:
実行していないサービスがある場合は、Windows イベント ビューアを使用してサービスの停止時間と開始時間を確認します。
Gateway サービスが正しく開始して実行するまで、他のサービスは開始されません。Gateway サービスがクラウドに接続できなかったり、何らかの理由で開始できなかった場合、他のサービスは到着しない構成ファイルを待ち続けてハングします。Gateway サービスの再起動に成功した場合は、Gateway サービスが再び正常に実行された後、他のサービスも再起動する必要があります。
ウイルス対策ソフトの影響で、Gateway インストールに失敗する場合があります。
RADIUS 認証のトラブルシューティング
次のログ メッセージとエラー メッセージを参照してください:
- WatchGuard Cloud の監査ログ
- AuthPoint Gateway の RADIUS ログ
- RADIUS クライアントのエラー メッセージ
- Firebox ログ メッセージ — Firebox が RADIUS クライアントとして構成されている場合は、Firebox ログ メッセージからユーザ認証イベント、および Firebox と AuthPoint Gateway 間の接続エラーを検索します。
その他にも、以下の内容をお試しください。
- Gateway がインストールされているサーバーの RADIUS ポート (既定のポートは 1812 または 1645 です) が開いていることを確認します。ポートは、既定では開いていません。ポートが開いている場合は、そのポートがサーバー上の他の何かに使用されていないことを確認してください。これは、使用されていると Gateway と競合するためです。
- Gateway と RADIUS クライアントの間で pcap を行います。
LDAP 認証のトラブルシューティング
次のログ メッセージを参照してください:
- Gateway の LDAP ログで、次を探します。
- 接続性テストの結果
- 同期イベント
- ユーザー認証の要求
- ドメイン コントローラへの接続のエラー
- WatchGuard Cloud の監査ログで、次を探します。
- LDAP 外部アイデンティティの構成の変更
- LDAP のユーザー同期エラー
その他にも、以下の内容をお試しください。
- Gateway が LDAP/AD サーバーとは異なるサーバーにインストールされている場合は、Gateway と LDAP/AD サーバーの間で pcap を行い、LDAP 応答が返ってくることを確認してください。
AuthPoint Agent for Windows および Agent for Mac のトラブルシューティング
認証エラーが発生した場合、AuthPoint Agent for Windows または Agent for Mac のログイン ページにエラー メッセージが表示される場合があります。このエラー メッセージには、エラー コードと Request ID が含まれています。このエラー コードと Request ID を使用して、監査ログのエラーを探します。
IdP ポータルのトラブルシューティング
IdP ポータルをトラブルシューティングするには、ユーザーにログイン エラーについての情報を提供してもらいます。認証に失敗すると、ログイン ページにエラー メッセージが表示されます。エラー コードと Request ID は、ページ下部に表示されます。
このエラー コードと Request ID を使用して、監査ログのエラーを探します。
AuthPoint モバイル アプリのトラブルシューティング
モバイル アプリをトラブルシューティングするには、ユーザーにログイン エラーについての情報を提供してもらいます。認証エラーが発生した場合、モバイル デバイスには、エラー コードを含むエラー メッセージが表示されます。エラーは、トラブルシューティングに役立ちます。これは、ユーザーが監査ログでエラー コードを探すことができるためです。
モバイル アプリでは、ユーザーはトークンの詳細を見ることもできます。トークンの詳細に、次の値が表示されていることを確認してください。
- プッシュ ステータス — 登録済み
- 時間参照 — 正しい時間
必要に応じて、ユーザーは トークンの同期 オプションを選択してトークンの時間とステータスをサーバーと同期させることができます。これは、ユーザーがプッシュを承認したり OTP を入力する際に AuthPoint が認証が許可された時間内になされたことを認識できるようにするために必要です。トークンのタイムスタンプとサーバーのタイムスタンプの間の時間差が大きすぎる場合、ユーザーが認証できない場合があります。
詳細については、次を参照してください:トークンを同期する
ADFS のトラブルシューティング
ADFS をトラブルシューティングする際に役立つ情報は、以下で見つけることができます。
- ADFS エージェントがインストールされているコンピュータ上のイベント ビューア
- WatchGuard Cloud の監査ログ
- AuthPoint Gateway の ADFS ログ ファイル
- ADFS エージェントのログ ファイル
RD Web のトラブルシューティング
AuthPoint Agent for RD Web は、RD Web サーバー上でサービスとして動作します。WatchGuard AuthPoint RD Web Core サービスが実行していることを確認してください。
RD Web のトラブルシューティングに使用できるツールには、次のようなものがあります。
- IIS サーバー ログ ファイル — RD Web ポータルへのユーザー認証に関する情報の確認
- リモート デスクトップ サービスのイベント ビューア — RD Web がホストするリソースへのユーザー接続に関する情報の確認
- AuthPoint 監査ログ — RD Web ユーザー認証のイベントの確認