升级版本后 Radius 连接失败

问题现象

在升级到 FortiOS 7.2.10、7.4.5 之后，FortiGate 已配置的 Radius 服务器无法正常连接，显示“对服务器密钥无效”，升级前是可以正常连接的。

问题原因

为了避免 Radius 协议漏洞 CVE-2024-3596 造成的影响，在 FortiOS 7.2.10 和 7.4.5 的版本中，FortiGate 强制验证 Radius Message-Authenticator 属性。即 FortiGate 作为 Radius Client 发送的 Radius Access Request 报文里面会携带 Radius Message-Authenticator 属性，FortiGate 要求 Radius Server 在返回给防火墙的 Radius 报文中也必须要携带 Radius Message-Authenticator 属性，如果 Radius Server 不携带该属性，则 FortiGate 拒绝其响应。

解决方法

1. 升级 Radius 服务器到已经修复漏洞 CVE-2024-3596 的版本，例如 Windows Server 系统在 KB5040268 补丁中增加了对 Radius Message-Authenticator 属性的支持。

2. 在之后的 7.2.11 或 7.4.6 的版本中，有选项可以关闭强制验证 Radius Message-Authenticator 属性（默认开启）。

   config user radius
       edit xxx
           set require-message-authenticator disable
       next
   end

3. 如果方法 1 和方法 2 都不可行，可以暂时降级到 7.2.9 或 7.4.5 版本。