IDUser-Agent wird in den Palo Alto-Netzwerken als "nicht-conn" angezeigt Firewall

IDUser-Agent wird in den Palo Alto-Netzwerken als "nicht-conn" angezeigt Firewall

92893
Created On 09/25/18 19:48 PM - Last Modified 03/26/21 16:56 PM


Environment


  • PAN-OS 8.1, 9.0 und 9.1
  • Palo Alto Firewall .
  • IDBenutzer-Agent.

Resolution


Der ID Benutzer-Agent-Status in den Palo Alto-Netzwerken firewall wird als 'not-conn' angezeigt.

admin@PA> show user user-id-agent state all

Agent: Agent1(vsys: vsys1) Host: 10.129.80.47:5007
        Status                                            : not-conn:idle
        Version                                           : 0x0
        num of connection tried                           : 13
        num of connection succeeded                       : 0
.....

 

Aus der GUI sieht der Status wie folgt aus:

Screenshot 2016-04-01 um 4.43.52 Uhr. png

 

Der Status 'non-conn' (nicht verbunden) kann aus verschiedenen Gründen sein. Schauen Sie sich die folgenden Punkte an:

 

  1. A Hochverfügbarkeitsgerät, bei dem das aktive Gerät nur eine Verbindung mit dem ID Benutzer-Agenten herstellt und passiv firewall immer als Nicht verbundenangezeigt wird.
  2. Der ID Benutzer-Agent ist ordnungsgemäß auf dem Computer/Server installiert und der Host überwacht Port 5007: ID Benutzer-Agent-Setup-Tipps
  3. Der firewall hat die richtige Erreichbarkeit von der Dienstroute zum Benutzer-Agenten, und der Port wird nirgendwo dazwischen ID blockiert.
  4. Wenn Sie einen ID Benutzer-Collector verwenden, stellen Sie sicher, dass die Umverteilung firewall ordnungsgemäß konfiguriert ist und über den erreichbar firewall ist. Stellen Sie außerdem sicher, dass die Dienste und Richtlinien für die Umverteilung ordnungsgemäß zulässig firewall sind. Konfigurieren eines Firewall zum Freigeben von Benutzerzuordnungsdaten für andere Firewalls
  5. Da die Verbindung zwischen der firewall und der Umverteilung firewall verwendet SSL wird, stellen Sie sicher, dass das SSL von der verwendete Zertifikat nicht abgelaufen firewall ist. Erfassen Sie den Handschlag auf dem Management-Port oder dem dataplane-Port (wenn Service Route verwendet wird) und erweitern Sie das Client-Zertifikats Paket, um die Gültigkeit zu finden. Gewusst wie: Paketerfassung (Tcpdump) auf Management-Schnittstelle
  6. Überprüfen Sie die ID Benutzer-Protokolle auf firewall der, um festzustellen, ob Fehler angezeigt werden:

     
    admin@PA> tail follow yes mp-log useridd.log
..Error:  __pan_print_msg(pan_sys.c:963): Failed to connect to 10.129.80.47(10.129.80.47):5007
..Error:  __pan_print_msg(pan_sys.c:963): Failed to connectto 10.129.80.47(5007): Internal Error
..Error:  pan_ssl_conn_open(pan_ssl_utils.c:383):pan_tcp_sock_open() failed
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldUCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language