Authentification RADIUS après mise à niveau vers PAN OS 7.1.0 à partir de 6.1. X
Symptom
Resolution
- Dès qu'un utilisateur global Protect tente de se connecter au portail et à la passerelle, le serveur RADIUS supprime silencieusement les paquets de demande d'accès envoyés par le pare-feu.
> Journaux authed du pare-feu
=============================================================================================
PA-3020 (active) > queue suivre Oui queue suivre Oui MP-log authd. log
2016-04-08 12:36:31.734-0700 Debug: pan_authd_radius_create_req_payload (pan_authd_radius. c:178): type de demande (chap ou PAP) n'a pas encore déterminé, authd tente d'envoyer la demande chap à RADIUS Server 10.1.0.20 maintenant
2016-04-08 12:36:31.734-0700 Debug: pan_authd_radius_create_req_payload (pan_authd_radius. c:191): nom_utilisateur: aserl
2016-04-08 12:36:31.734-0700 Debug: pan_make_radius_request_buf (pan_authd_radius_prot. c:404): RADIUS Request type: chap
2016-04-08 12:36:35.712- 0700 Debug: cfgagent_doop_callback (pan_cfgagent. c:502): signal reçu à exécuter pour l'agent: authed
2016-04-08 12:36:35.713-0700 Debug: pan_authd_show_user_auth_stat_internal (pan_auth_ops. c:998): Got Last
pan_auth_cache_get_ vsys_domain_sso_id (pan_auth_cache_authprof_n_authseqprof. c:135): Prof "RADIUS Profile", VSys "vsys1" a SSO hash table ID: 0 (0 signifie non ou invalide keytab)
2016-04-08 12:37:02.820-0700 Debug: pan_auth_request_process (pan_auth_state_engine. c : 1647): essayer d'authentifier: <profile: "radius="" profile",="" vsys:="" "vsys1",="" username="" "aserl"="">
2016-04-08 12:37:02.820-0700 Debug: _authenticate_by_localdb_or_remote_server (pan_auth_state_engine. c:1121): authentification de l'utilisateur "aserl" avec <profile: "radius="" profile",="" vsys:="" "vsys1"="">
2016-04-08 12:37:02.820-0700 Debug: pan_authd_radius_ create_req_payload (pan_authd_radius. c:178): type de demande (chap ou PAP) n'a pas encore déterminé, authd essaie d'envoyer la demande chap à RADIUS Server 10.1.0.20 maintenant
2016-04-08 12:37:02.820-0700 Debug: pan_authd_radius_create_req_payload (pan_authd_ RADIUS. c:191): nom d'utilisateur: aserl
2016-04-08 12:37:02.820-0700 Debug: pan_make_radius_request_buf (pan_authd_radius_prot. c:404): RADIUS Request type: chap
2016-04-08 12:37:33.873-0700 Debug: auth_svr_timeout_sent_request (pan_auth_ SVR. c:287): chAP Timeout & Retry: authd ID = 298, NomUtilisateur = aserl, Protocol req ID = 1, Retries = 1 (SVR CTXT timeout_in_sec 30, max_retries 5) (Req écoulé 31 secs; Max autorisé 40 secs)
2016-04-08 12:37:38.873-0700 Debug: pan_auth_response_process ( pan_auth_state_engine. c:2424): auth statut: auth timed out
2016-04-08 12:37:38.874-0700 Debug: _log_auth_respone (pan_auth_server. c:243): envoyé failed auth Response pour l'utilisateur'aserl' (exp_in_days = 0 (-1 Never; 0 dans un jour))
2016-04-08 12:38:08.874-0700 Debug: pan_auth_response_process (pan_auth_state_engine. c:2424): auth Status: auth timed out
2016-04-08 12:38:08.874-0700 Debug: pan_auth_response_process (pan_auth_state_engine. c:2591): auth a échoué pour l'utilisateur " aserl "thru <"Radius profile",="" "vsys1"="">: serveur distant 10.1.0.20 du profil du serveur" RADIUS "est en panne, ou dans l'intervalle de nouvelle tentative, ou de la demande timed out (temps écoulé 66
secs, Max permis 40 secs)</"Radius> </profile:></profile:>
> Logs à partir du serveur RADIUS:
=============================================================================================
2016-04-08T17:09:47.067480 Z | 0 | 5004 | 5020 | prfad | Événement 2.
2016-04-08T17:09:47.067480 z | 0 | 5004 | 5020 | prfad | Sock 0x000000000000014C
2016-04-08T17:09:47.067480 z | 0 | 5004 | 5020 | ARAP | Code 1-ACCESS_REQUEST.
2016-04-08T17:09:47.067480 z | e | 5004 | 5020 | ARAP | Reçu un paquet ACCESS_REQUEST non valide. Je laisse tomber le paquet.
2016-04-08T17:09:47.067480 z | e | 5004 | 5020 | ARAP | processIncomingPacket a échoué.
Puisque le pare-feu n'obtenait pas de succès ou de réponse de défi pour la requête que le serveur RADIUS a été de laisser tomber les paquets et l'automne-retour à l'authentification PAP n'était pas le cas, ce qui a causé le problème.
Le serveur RADIUS a été configuré comme---utilisateur entrer des informations d'identification sur le logiciel client GlobalProtect et recevra un appel par téléphone cellulaire demandant de presser # pour confirmation; par conséquent, le délai d'attente est configuré plus (30-40 secondes).
--Si le Sever n'est configuré que pour utiliser l'authentification PAP, utilisez la commande ci-dessous pour résoudre ce type de problème.
> définir l'authentification radius-auth-type PAP
Cette commande sera persistante sur les redémarrages, mais pas sur les mises à jour logicielles
Après cette commande, l'utilisateur s'est connecté avec succès au GP
Logs authed
=====================
2016-04-08 13:39:49.991-0700 Debug: pan_authd_radius_create_req_payload (pan_authd_radius. c:191): nom_utilisateur: aserl
2016-04-08 13:40:09.986-0700 Debug: pan_make_radius_request_buf (pan_authd_radius_prot. c:412): RADIUS Request type: PAP
2016-04-08 13:40:13.151-0700 Debug: pan_authd_radius_parse_resp_payload (pan_authd_radius. c:241): resp_code = RAD_ACCESS_ACCEPT
2016-04-08 13:40:13.151-0700 Debug: pan_auth_service_recv_response (pan_auth_service_handle. c:1202 ): Got réponse pour l'utilisateur: "aserl"
2016-04-08 13:40:13.151-0700 Debug: pan_auth_response_process (pan_auth_state_engine. c:2424): auth Status: auth Success
Merci.