Autenticación RADIUS después de la actualización a PAN OS 7.1.0 de 6.1. X
Symptom
Resolution
- Tan pronto como cualquier usuario de Protect global intente conectarse al portal y al Gateway, el servidor RADIUS dejará silenciosamente los paquetes de solicitud de acceso enviados por el firewall.
> Registros authd desde el Firewall
=============================================================================================
PA-3020 (activo) > cola seguir sí cola seguir sí MP-log authd. log
2016-04-08 12:36:31.734-0700 Debug: pan_authd_radius_create_req_payload (pan_authd_radius. c:178): el tipo de solicitud (CHAP o PAP) no se ha determinado todavía, authd intenta enviar la petición CHAP al servidor RADIUS 10.1.0.20 ahora
2016-04-08 12:36:31.734-0700 Debug: pan_authd_radius_create_req_payload (pan_authd_radius. c:191): username: aserl
2016-04-08 12:36:31.734-0700 Debug: pan_make_radius_request_buf (pan_authd_radius_prot. c:404): RADIUS Request Type: CHAP
2016-04-08 12:36:35.712- 0700 Debug: cfgagent_doop_callback (pan_cfgagent. c:502): recepción de la señal para ejecutar para el agente: authd
2016-04-08 12:36:35.713-0700 depuración: pan_authd_show_user_auth_stat_internal (pan_auth_ops. c:998): Got Last
pan_auth_cache_get_ vsys_domain_sso_id (pan_auth_cache_authprof_n_authseqprof. c:135): Prof "RADIUS Profile", vsys "vsys1" tiene SSO hash Table ID: 0 (0 significa no or invalid keytab)
2016-04-08 12:37:02.820-0700 Debug: pan_auth_request_process (pan_auth_state_engine. c : 1647): tratando de autenticar: <profile: "radius="" profile",="" vsys:="" "vsys1",="" username="" "aserl"="">
2016-04-08 12:37:02.820-0700 Debug: _authenticate_by_localdb_or_remote_server (pan_auth_state_engine. c:1121): Autenticando usuario "aserl" con <profile: "radius="" profile",="" vsys:="" "vsys1"="">
2016-04-08 12:37:02.820-0700 Debug: pan_authd_radius_ create_req_payload (pan_authd_radius. c:178): el tipo de solicitud (CHAP o PAP) aún no se ha determinado, authd intenta enviar la solicitud CHAP a RADIUS Server 10.1.0.20 ahora
2016-04-08 12:37:02.820-0700 Debug: pan_authd_radius_create_req_payload (pan_authd_ RADIUS. c:191): nombre de usuario: aserl
2016-04-08 12:37:02.820-0700 Debug: pan_make_radius_request_buf (pan_authd_radius_prot. c:404): RADIUS Request Type: CHAP
2016-04-08 12:37:33.873-0700 Debug: auth_svr_timeout_sent_request (pan_auth_ SVR. c:287):tiempo de espera y reintento de CH AP: ID authd = 298, nombredeusuario = aserl, protocolo req ID = 1, retries = 1 (SVR ctxt timeout_in_sec 30, max_retries 5) (req transcurrido 31 secs; Max permitido 40 secs)
2016-04-08 12:37:38.873-0700 Debug: pan_auth_response_process ( pan_auth_state_engine. c:2424): auTH status: auth tiempo fuera
2016-04-08 12:37:38.874-0700 Debug: _log_auth_respone (pan_auth_server. c:243): enviado respuesta auth fallida para el usuario ' aserl ' (exp_in_days = 0 (-1 nunca; 0 dentro de un día))
2016-04-08 12:38:08.874-0700 Debug: pan_auth_response_process (pan_auth_state_engine. c:2424): auth status: auth tiempo fuera
2016-04-08 12:38:08.874-0700 Debug: pan_auth_response_process (pan_auth_state_engine. c:2591): auth falló para el usuario " aserl "a través <"Radius profile",="" "vsys1"="">de: servidor remoto 10.1.0.20 del perfil del servidor" RADIUS "está abajo, o en el intervalo de reintento, o la solicitud de tiempo fuera (tiempo transcurrido 66
secs, Max permitió 40 secs)</"Radius> </profile:></profile:>
> Logs desde el servidor RADIUS:
=============================================================================================
2016-04-08T17:09:47.067480 Z | 0 | 5004 | 5020 | prfad | Evento 2.
2016-04-08T17:09:47.067480 z | 0 | 5004 | 5020 | prfad | Calcetín 0x000000000000014C
2016-04-08T17:09:47.067480 z | 0 | 5004 | 5020 | pfrad | Código 1-ACCESS_REQUEST.
2016-04-08T17:09:47.067480 z | e | 5004 | 5020 | pfrad | Se ha recibido un paquete ACCESS_REQUEST no válido. Cayendo el paquete.
2016-04-08T17:09:47.067480 Z | e | 5004 | 5020 | pfrad | processIncomingPacket falló.
Dado que el cortafuegos no estaba obteniendo ningún éxito o respuesta de desafío para la consulta, ya que el servidor RADIUS estaba bajando los paquetes y no ocurría la autenticación de PAP, lo que causó el problema.
El servidor RADIUS se configuró como---el usuario introduzca las credenciales en el software del cliente GlobalProtect y recibirá una llamada a través del teléfono celular pidiéndole que oprima # para confirmar la confirmación; por lo tanto el tiempo de espera se configura más (30-40 segundos).
--Si el servidor sólo está configurado para utilizar la autenticación PAP, utilice el comando siguiente para abordar este tipo de problemas
> conjunto de autenticación RADIUS-auth-Type PAP
Este comando será persistente a través de los reinicios, pero no a través de las actualizaciones de software
Después de este comando el usuario se conectó con éxito al GP
Registros authd
=====================
2016-04-08 13:39:49.991-0700 Debug: pan_authd_radius_create_req_payload (pan_authd_radius. c:191): nombre de usuario: aserl
2016-04-08 13:40:09.986-0700 Debug: pan_make_radius_request_buf (pan_authd_radius_prot. c:412): RADIUS tipo de solicitud: PAP
2016-04-08 13:40:13.151-0700 Debug: pan_authd_radius_parse_resp_payload (pan_authd_radius. c:241): resp_code = RAD_ACCESS_ACCEPT
2016-04-08 13:40:13.151-0700 Debug: pan_auth_service_recv_response (pan_auth_service_handle. c:1202 ): Respuesta conseguida para el usuario: "aserl"
2016-04-08 13:40:13.151-0700 Debug: pan_auth_response_process (pan_auth_state_engine. c:2424): auth status: auth Success
Gracias.