Weblog

RADIUS-Authentifizierung schlägt nach Junos Upgrade fehl

22.07.2025 1 Min. Lesezeit

Problemstellung

Nach einem Upgrade von Juniper-Geräten auf Junos 23.4R2-S2 oder höher kann es zu einem unerwarteten Ausfall der RADIUS-Authentifizierung kommen.

Typische Fehlermeldungen im syslog lauten:

Message-Authenticator is not encoded as the first attribute in the response packet, immediately after the attribute header.

PAM_RADIUS_SEND_REQ_FAIL: Sending radius request failed with error (Invalid RADIUS response received).

Ursache

Mit dem Release 23.4R2-S2 hat Juniper die Anforderungen an RADIUS-Antwortpakete verschärft. Neu ist die Pflicht zur Verwendung des RADIUS-Attributes Message-Authenticator, das:

  • in jeder Antwort enthalten sein muss, und
  • als erstes Attribut im Paket erscheinen muss.

Workaround

Deaktivierung der Message-Authenticator-Pflicht auf dem Juniper-Gerät:

set system radius-server no-message-authenticator

Hintergrund zum Message-Authenticator

Das RADIUS-Attribut Message-Authenticator dient der Integritätsprüfung und dem Schutz vor Manipulation. Es wird insbesondere bei EAP-basierten Authentifizierungen verwendet, kann aber auch bei Standard-Access-Requests erforderlich sein - wie nun bei Juniper ab 23.4R2-S2.

Die strikte Platzierung als erstes Attribut im Antwortpaket ist eine neue Anforderung, die ältere Proxies nicht erfüllen, was zu einer Ablehnung der Antwort durch das Juniper-System führt.

Der Workaround ist also tatsächlich nur ein Workaround, die Lösung des Problems sollte ein Update bzw. eine Anpassung im RADIUS Server sein.

Themen Technikzeug
Schlagworte EAP Juniper RADIUS
π