改进灾难恢复期间的 LDAP 身份验证

概述

大型公司在发生灾难时可以有镜像位置, 这称为灾难恢复站点。这包括域控制器和防火墙及其 RA VPN 基础结构。在主要方面的问题, 用户将能够连接到第二方和执行他们的任务, 如预期的那样。

本文档将审查在这些情况下 LDAP 身份验证的最佳做法。

详细

LDAP 身份验证, 在帕洛阿尔托网络防火墙实现直接从防火墙执行。任何试图使用 GlobalProtect 客户端进行连接和身份验证的用户, 都将从防火墙授权到在身份验证配置文件中配置的 LDAP 服务器, 并在 GlobalProtect 配置中使用。通常, 每个活动目录 (AD) 环境都将在主位置有多个数据中心 (如果其中的一个无法处理请求) 以及灾难恢复位置中的一个或多个数据中心。这是必要的, 这样即使整个主位置都关闭 (如果发生严重停机), 这些请求也将由灾难恢复数据中心处理。

在帕洛阿尔托网络防火墙中, 可以通过在 LDAP 配置文件中添加多个 AD 服务器来实现这一点。

在这种情况下, 如下所示, 在主位置和灾难恢复位置使用了两个数据中心:

LDAP 配置文件有3个定时器值, 需要定义如下:

• 绑定时间
• 绑定时间限制
• 重试时间间隔

如果只添加服务器, 并且在停机时保留默认值将不会有多大帮助。

以下是有关计时器的简短解释:

• 绑定时间是防火墙等待建立 ldap 连接的时间 (ldap bindRequest 将被发送和 bindResponse 回来)。
• 绑定时间限制是防火墙等待 LDAP 搜索信息返回结果的值。
• 重试间隔指定系统在上次失败尝试后尝试连接到 LDAP 服务器的间隔。

如果在灾难恢复或 LDAP 停机时使用默认值, 可能会导致 GlobalProtect 用户的身份验证尝试失败。这是真的, 因为 GlobalProtect 身份验证请求将在20秒后超时。因此, 如果 ldap 配置文件中的第一个 ldap 服务器处于关闭状态, 默认情况下, 防火墙将等待30秒钟, 然后再进入下一台。此外, 由于未定义重试间隔 (默认情况下), 即使防火墙无法连接到对一个用户进行身份验证, 它也会尝试将每个新请求连接到同一个 LDAP, 并将导致所有的身份验证尝试, 以便所有用户都能够失败。

步骤

为防止出现此情况, 应使用以下步骤将计时器参数更改为适当的值:

1. 根据网络延迟、带宽和服务器利用率, 将绑定时间更改为较低的值。此连接通常非常快, 但在灾难恢复方案 (其中灾难恢复位置超过100公里以外), 可能需要几秒钟时间, 因此保存值可以大约2-3 秒。
2. 将绑定时间限制更改为较低的值。这通常也非常快, 但同样的考虑从以前是有效的, 所以一个保存值也可以大约2-3 秒。
3. 将重试间隔更改为高值。这样, 在停机期间, 即使第一个服务器 (或前两个) 的首次用户请求失败, 防火墙也不会尝试将用户身份验证为配置的时间间隔的 LDAP 服务器。应根据公司为紧急响应团队定义的通常响应时间来配置此值。通常, 保存值为900s。如果所有服务器都启动并运行, 此计时器将永远不会启动.
   
   注意:一定要测试前两个定时器, 并根据测试更改值. 如果绑定和获取结果的时间比定义的值长, 则可能会看到身份验证问题, 因此使用最适合网络的值。
   创建使用已定义 LDAP 配置文件的身份验证配置文件:
   
   如下面的截图所示, 将创建的身份验证配置文件附加到 GlobalProtect 门户和 GlobalProtect 网关:
   
   

所有者： ialeksov