6.1. X からのパン OS 7.1.0 へのアップグレード後の RADIUS 認証

6.1. X からのパン OS 7.1.0 へのアップグレード後の RADIUS 認証

21654
Created On 09/25/18 19:49 PM - Last Modified 06/12/23 10:34 AM


Symptom


兆候

問題

  • RADIUS サーバーは、PAP 認証のみをサポートするように構成されていたため、パケットを破棄します。 
  • 次のコマンドは、出力を与えず、RADIUS サーバーからの応答を待つだけです。

PA-3020 (アクティブ) >認証認証のテスト-プロファイル "Radius プロファイル" ユーザー名 aserl パスワード
パスワードを入力し てください:

診断

  • PAN OS 7.0.0 の前に、RADIUS 認証を使用している間に認識される認証の種類は PAP のみでした。
  • RADIUS サーバーは、PAP 要求のみに応答するように構成されていました。
  • PAN-OS 6.1. x では、パロアルトネットワークファイアウォールは、アップグレード後に CHAP を最初に試すように変更し、問題の原因となった PAP タイプの要求のみを送信します。

Resolution


  • グローバル保護ユーザーがポータルとゲートウェイに接続しようとするとすぐに、RADIUS サーバーはファイアウォールによって送信されたアクセス要求パケットをサイレントモードで削除します。 

 

> ファイアウォールからの Authd ログ

=============================================================================================

 

PA-3020 (アクティブ) > 尾ははい尾に従ってくださいはい mp-ログ authd


2016-04-08 12:36: 31.734-0700 デバッグ: pan_authd_radius_create_req_payload (pan_authd_radius c:178): 要求の種類(chap または PAP) がまだ決定されていないため、authd は、radius サーバーに chap 要求を送信しようとしました 10.1.0.20
2016-04-08 12:36: 31.734-0700デバッグ: pan_authd_radius_create_req_payload (pan_authd_radius c:191): ユーザー名: aserl
2016-04-08 12:36: 31.734-0700 デバッグ: pan_make_radius_request_buf (pan_authd_radius_prot): radius 要求の種類: CHAP

2016-04-08 12:36: c:404-0700デバッグ: cfgagent_doop_callback (pan_cfgagent c:502): エージェントの実行するために受信した信号: authd
2016-04-08 12:36: 35.713-0700 デバッグ: pan_authd_show_user_auth_stat_internal (pan_auth_ops): 最後の c:998 を得た
vsys_domain_sso_id (pan_auth_cache_authprof_n_authseqprof c:135): 教授 "Radius プロファイル", vsys "vsys1" sso ハッシュテーブル id を持っています: 0 (0 は no または無効なキータブを意味します)

2016-04-08 12:37: 02.820-0700 デバッグ: pan_auth_request_process (pan_auth_state_engine: 1647): 認証しようとして: <profile: "radius="" profile",="" vsys:="" "vsys1",="" username="" "aserl"="">

2016-04-08 12:37: 02.820-0700 デバッグ: _authenticate_by_localdb_or_remote_server (pan_auth_state_engine c:1121): 認証ユーザー "aserl" <profile: "radius="" profile",="" vsys:="" "vsys1"="">
2016-04-08 12:37: 02.820-0700 デバッグ: pan_authd_radius_create_req_payload (pan_authd_radius c:178): 要求の種類 (chap または PAP) がまだ決定されていないため、authd が chap 要求を radius サーバーに送信しようとしました10.1.0.20 今
2016-04-08 12:37: 02.820-0700 デバッグ: pan_authd_radius_create_req_payload (pan_authd_c:191): ユーザー名: aserl
2016-04-08 12:37: 02.820-0700 デバッグ: pan_make_radius_request_buf (pan_authd_radius_prot): radius 要求の種類: CHAP

2016-04-08 12:37: c:404-0700 デバッグ: 33.873 (auth_svr_timeout_sent_requestsvr c:287): CHAP タイムアウト & 再試行: authd id = 298、ユーザー名 = aserl、プロトコル必須 id = 1、再試行 = 1 (svr ctxt timeout_in_sec 30、max_retries 5) (所要時間31秒、最大許容40秒)

2016-04-08 12:37: 38.873-0700 デバッグ: pan_auth_response_process (pan_auth_state_engine c:2424): auth ステータス: auth タイムアウト
2016-04-08 12:37: 38.874-0700 デバッグ: _log_auth_respone (pan_auth_server):ユーザー ' c:243 ' (aserl = 0 (1 日以内に 0)
のために失敗した auth 応答を送信)2016-04-08 12:38: 08.874-0700 デバッグ: pan_auth_response_process (pan_auth_state_engine c:2424): auth ステータス: auth タイムアウト
2016-04-08 12:38: 08.874-0700 デバッグ: pan_auth_response_process (pan_auth_state_engine): 認証に失敗しましたユーザー "aserl "スルー <"Radius profile",="" "vsys1"="">: サーバープロファイルのリモートサーバー 10.1.0.20" Radius "がダウンしているか、再試行間隔、または要求がタイムアウトしました (経過時間66秒

、最大許容40秒)</"Radius> </profile:></profile:>

 

> RADIUS サーバーからのログ:

=============================================================================================

 

2016-04-08T17:09: 47.067480 z | 0 | 5004 | 5020 | prfad |イベント2。
2016-04-08T17:09: 47.067480 z | 0 | 5004 | 5020 | prfad |靴下 0x000000000000014C
2016-04-08T17:09: 47.067480 z | 0 | 5004 | 5020 | pfrad |コード 1-ACCESS_REQUEST
2016-04-08T17:09: 47.067480 z | e | 5004 | 5020 | pfrad |無効な ACCESS_REQUEST パケットを受信しました。パケットをドロップします。
2016-04-08T17:09: 47.067480 z | e | 5004 | 5020 | pfrad |processIncomingPacket に失敗した

 

RADIUS サーバーがパケットをドロップしていたために、ファイアウォールがクエリに対して成功またはチャレンジ応答を得られなかったため、問題の原因となった PAP 認証へのフォールバックが行われていませんでした。

 

RADIUS サーバーは、GlobalProtect クライアントソフトウェアで資格情報を入力する---ユーザーのように構成され、確認のために # を押すように求める携帯電話を介して通話を受信します。したがって、タイムアウトはより多く (30-40 秒) 構成されています。

 

--サーバーが PAP 認証を使用するように構成されている場合は、以下のコマンドを使用して、これらの種類の問題に対処します

 

> 認証半径の設定-auth タイプの pap

 

 このコマンドは再起動の間は永続的になりますが、ソフトウェアの更新では保持されません

 

このコマンドの後、ユーザーは GP に正常に接続されました

 

Authd ログ

=====================

2016-04-08 13:39: 49.991-0700 デバッグ: pan_authd_radius_create_req_payload (pan_authd_radius c:191): ユーザー名: aserl
2016-04-08 13:40: 09.986-0700 デバッグ: pan_make_radius_request_buf (pan_authd_radius_prot): radius 要求の種類:PAP
2016-04-08 13:40: 13.151-0700 デバッグ: pan_authd_radius_parse_resp_payload (pan_authd_radius c:241): resp_code = RAD_ACCESS_ACCEPT
2016-04-08 13:40: 13.151-0700 デバッグ: pan_auth_service_recv_response (pan_auth_service_handle): ユーザーのために得た応答: "aserl"
2016-04-08 13:40: 13.151-0700 デバッグ: pan_auth_response_process (pan_auth_state_engine c:2424): auth のステータス : auth の成功

 

 

 

ありがとう。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClePCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language