6.1. X からのパン OS 7.1.0 へのアップグレード後の RADIUS 認証
Symptom
Resolution
- グローバル保護ユーザーがポータルとゲートウェイに接続しようとするとすぐに、RADIUS サーバーはファイアウォールによって送信されたアクセス要求パケットをサイレントモードで削除します。
> ファイアウォールからの Authd ログ
=============================================================================================
PA-3020 (アクティブ) > 尾ははい尾に従ってくださいはい mp-ログ authd
2016-04-08 12:36: 31.734-0700 デバッグ: pan_authd_radius_create_req_payload (pan_authd_radius c:178): 要求の種類(chap または PAP) がまだ決定されていないため、authd は、radius サーバーに chap 要求を送信しようとしました 10.1.0.20
2016-04-08 12:36: 31.734-0700デバッグ: pan_authd_radius_create_req_payload (pan_authd_radius c:191): ユーザー名: aserl
2016-04-08 12:36: 31.734-0700 デバッグ: pan_make_radius_request_buf (pan_authd_radius_prot): radius 要求の種類: CHAP
2016-04-08 12:36: c:404-0700デバッグ: cfgagent_doop_callback (pan_cfgagent c:502): エージェントの実行するために受信した信号: authd
2016-04-08 12:36: 35.713-0700 デバッグ: pan_authd_show_user_auth_stat_internal (pan_auth_ops): 最後の c:998 を得た
vsys_domain_sso_id (pan_auth_cache_authprof_n_authseqprof c:135): 教授 "Radius プロファイル", vsys "vsys1" sso ハッシュテーブル id を持っています: 0 (0 は no または無効なキータブを意味します)
2016-04-08 12:37: 02.820-0700 デバッグ: pan_auth_request_process (pan_auth_state_engine: 1647): 認証しようとして: <profile: "radius="" profile",="" vsys:="" "vsys1",="" username="" "aserl"="">
2016-04-08 12:37: 02.820-0700 デバッグ: _authenticate_by_localdb_or_remote_server (pan_auth_state_engine c:1121): 認証ユーザー "aserl" <profile: "radius="" profile",="" vsys:="" "vsys1"="">
2016-04-08 12:37: 02.820-0700 デバッグ: pan_authd_radius_create_req_payload (pan_authd_radius c:178): 要求の種類 (chap または PAP) がまだ決定されていないため、authd が chap 要求を radius サーバーに送信しようとしました10.1.0.20 今
2016-04-08 12:37: 02.820-0700 デバッグ: pan_authd_radius_create_req_payload (pan_authd_c:191): ユーザー名: aserl
2016-04-08 12:37: 02.820-0700 デバッグ: pan_make_radius_request_buf (pan_authd_radius_prot): radius 要求の種類: CHAP
2016-04-08 12:37: c:404-0700 デバッグ: 33.873 (auth_svr_timeout_sent_requestsvr c:287): CHAP タイムアウト & 再試行: authd id = 298、ユーザー名 = aserl、プロトコル必須 id = 1、再試行 = 1 (svr ctxt timeout_in_sec 30、max_retries 5) (所要時間31秒、最大許容40秒)
2016-04-08 12:37: 38.873-0700 デバッグ: pan_auth_response_process (pan_auth_state_engine c:2424): auth ステータス: auth タイムアウト
2016-04-08 12:37: 38.874-0700 デバッグ: _log_auth_respone (pan_auth_server):ユーザー ' c:243 ' (aserl = 0 (1 日以内に 0)
のために失敗した auth 応答を送信)2016-04-08 12:38: 08.874-0700 デバッグ: pan_auth_response_process (pan_auth_state_engine c:2424): auth ステータス: auth タイムアウト
2016-04-08 12:38: 08.874-0700 デバッグ: pan_auth_response_process (pan_auth_state_engine): 認証に失敗しましたユーザー "aserl "スルー <"Radius profile",="" "vsys1"="">: サーバープロファイルのリモートサーバー 10.1.0.20" Radius "がダウンしているか、再試行間隔、または要求がタイムアウトしました (経過時間66秒
、最大許容40秒)</"Radius> </profile:></profile:>
> RADIUS サーバーからのログ:
=============================================================================================
2016-04-08T17:09: 47.067480 z | 0 | 5004 | 5020 | prfad |イベント2。
2016-04-08T17:09: 47.067480 z | 0 | 5004 | 5020 | prfad |靴下 0x000000000000014C
2016-04-08T17:09: 47.067480 z | 0 | 5004 | 5020 | pfrad |コード 1-ACCESS_REQUEST
2016-04-08T17:09: 47.067480 z | e | 5004 | 5020 | pfrad |無効な ACCESS_REQUEST パケットを受信しました。パケットをドロップします。
2016-04-08T17:09: 47.067480 z | e | 5004 | 5020 | pfrad |processIncomingPacket に失敗した
RADIUS サーバーがパケットをドロップしていたために、ファイアウォールがクエリに対して成功またはチャレンジ応答を得られなかったため、問題の原因となった PAP 認証へのフォールバックが行われていませんでした。
RADIUS サーバーは、GlobalProtect クライアントソフトウェアで資格情報を入力する---ユーザーのように構成され、確認のために # を押すように求める携帯電話を介して通話を受信します。したがって、タイムアウトはより多く (30-40 秒) 構成されています。
--サーバーが PAP 認証を使用するように構成されている場合は、以下のコマンドを使用して、これらの種類の問題に対処します
> 認証半径の設定-auth タイプの pap
このコマンドは再起動の間は永続的になりますが、ソフトウェアの更新では保持されません
このコマンドの後、ユーザーは GP に正常に接続されました
Authd ログ
=====================
2016-04-08 13:39: 49.991-0700 デバッグ: pan_authd_radius_create_req_payload (pan_authd_radius c:191): ユーザー名: aserl
2016-04-08 13:40: 09.986-0700 デバッグ: pan_make_radius_request_buf (pan_authd_radius_prot): radius 要求の種類:PAP
2016-04-08 13:40: 13.151-0700 デバッグ: pan_authd_radius_parse_resp_payload (pan_authd_radius c:241): resp_code = RAD_ACCESS_ACCEPT
2016-04-08 13:40: 13.151-0700 デバッグ: pan_auth_service_recv_response (pan_auth_service_handle): ユーザーのために得た応答: "aserl"
2016-04-08 13:40: 13.151-0700 デバッグ: pan_auth_response_process (pan_auth_state_engine c:2424): auth のステータス : auth の成功
ありがとう。