El ID usuario-agente se muestra como 'no-conn' en las redes de Palo Alto Firewall

El ID usuario-agente se muestra como 'no-conn' en las redes de Palo Alto Firewall

92901
Created On 09/25/18 19:48 PM - Last Modified 03/26/21 16:56 PM


Environment


  • PAN-OS 8.1, 9.0 y 9.1
  • Palo Alto Firewall .
  • Agente de ID usuario.

Resolution


El estado del agente de usuario ID en las redes de Palo Alto se muestra como firewall 'not-conn'.

admin@PA> show user user-id-agent state all

Agent: Agent1(vsys: vsys1) Host: 10.129.80.47:5007
        Status                                            : not-conn:idle
        Version                                           : 0x0
        num of connection tried                           : 13
        num of connection succeeded                       : 0
.....

 

Desde el GUI , el estado tiene este aspecto:

Screen Shot 2016-04-01 en 4.43.52 PM. png

 

El estado 'non-conn' (no conectado) puede deberse a varias razones. Asegúrese de comprobar lo siguiente:

 

  1. A dispositivo de alta disponibilidad, donde el dispositivo activo se conecta solamente al agente de ID usuario, y pasivo firewall siempre se muestra como no conectado.
  2. El agente de usuario ID está instalado correctamente en el equipo/servidor y que el host está escuchando en el puerto 5007: Consejos de configuración del ID usuario-agente
  3. El firewall tiene la accesibilidad adecuada de la ruta de servicio al agente del ID usuario, y el puerto no se bloquea en ningún lugar intermedio.
  4. Si utiliza un recopilador de ID usuario, asegúrese de que la redistribución firewall esté configurada correctamente y sea accesible desde el firewall archivo . Asegúrese también de que los servicios y las directivas se permiten correctamente en la firewall redistribución. Configurar Firewall a para compartir datos de asignación de usuarios con otros firewalls
  5. Puesto que la conexión entre el firewall y la redistribución firewall utiliza , SSL aseegurese el SSL certificado utilizado por el no ha firewall caducado. Capture el apretón de mano en el puerto de administración o en el puerto planeo de los mismos (si se utiliza la ruta de servicio) y expanda el paquete del certificado de cliente para encontrar la validez. Cómo captura de paquete (tcpdump) en el interfaz de administración
  6. Marque los registros del usuario ID en el para ver si cualquier error está firewall apareciendo:

     
    admin@PA> tail follow yes mp-log useridd.log
..Error:  __pan_print_msg(pan_sys.c:963): Failed to connect to 10.129.80.47(10.129.80.47):5007
..Error:  __pan_print_msg(pan_sys.c:963): Failed to connectto 10.129.80.47(5007): Internal Error
..Error:  pan_ssl_conn_open(pan_ssl_utils.c:383):pan_tcp_sock_open() failed
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldUCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language