从6.1.X 升级到 PAN OS 7.1.0 后的 RADIUS 身份验证
Symptom
Resolution
- 只要任何全局保护用户尝试连接到门户和网关, RADIUS 服务器就会悄悄地删除由防火墙发送的访问请求数据包。
>> Authd 从防火墙中记录日志
=============================================================================================
PA-3020 (活动) > 尾巴跟随是尾巴跟随是 mp-日志 authd.log
2016-04-08 12:36:31.734-0700 调试: pan_authd_radius_create_req_payload (pan_authd_radius: 178): 请求类型(CHAP 或 PAP) 尚未确定, authd 尝试向 radius 服务器发送 CHAP 请求10.1.0.20 现在 2016-04-08 12:36:31.734-0700
调试: pan_authd_radius_create_req_payload (pan_authd_radius: 191): 用户名: aserl
2016-04-08 12:36:31.734-0700 调试: pan_make_radius_request_buf (pan_authd_radius_prot. c: 404): radius 请求类型: CHAP
2016-04-08 12:36:35.712-0700调试: cfgagent_doop_callback (pan_cfgagent: 502): 接收到的信号执行代理: authd
2016-04-08 12:36:35.713-0700 调试: pan_authd_show_user_auth_stat_internal (pan_auth_ops. c: 998): 得到最后的
pan_auth_cache_get_vsys_domain_sso_id (pan_auth_cache_authprof_n_authseqprof: 135): 教授 "半径剖面", vsys "vsys1" 有 sso 哈希表 id: 0 (0 表示 no 或无效 keytab)
2016-04-08 12:37:02.820-0700 调试: pan_auth_request_process (pan_auth_state_engine. c: 1647): 尝试验证: <profile: "radius="" profile",="" vsys:="" "vsys1",="" username="" "aserl"="">
2016-04-08 12:37:02.820-0700 调试: _authenticate_by_localdb_or_remote_server (pan_auth_state_engine: 1121): 验证用户 "aserl" 与<profile: "radius="" profile",="" vsys:="" "vsys1"="">
2016-04-08 12:37:02.820-0700 调试: pan_authd_radius_create_req_payload (pan_authd_radius: 178): 请求类型 (CHAP 或 PAP) 尚未确定, authd 尝试向 radius 服务器发送 CHAP 请求10.1.0.20 现在
2016-04-08 12:37:02.820-0700 调试: pan_authd_radius_create_req_payload (pan_authd_半径: 191): 用户名: aserl
2016-04-08 12:37:02.820-0700 调试: pan_make_radius_request_buf (pan_authd_radius_prot: 404): radius 请求类型: CHAP
2016-04-08 12:37:33.873-0700 调试: auth_svr_timeout_sent_request (pan_auth_svr. c: 287): CHAP 超时和重试: authd id=298, 用户名 = aserl, 协议的 id=1, retries=1 (svr ctxt timeout_in_sec 30, max_retries 5) (规定已过31秒; 最大允许40秒)
2016-04-08 12:37:38.873-0700 调试: pan_auth_response_process (pan_auth_state_engine: 2424):非盟状态: 授权超时
2016-04-08 12:37:38.874-0700 调试: _log_auth_respone (pan_auth_server: 243):为用户 "aserl" 发送失败的授权响应 (exp_in_days=0 (-1 从未; 0 在一天之内))
2016-04-08 12:38:08.874-0700 调试: pan_auth_response_process (pan_auth_state_engine: 2424): 授权状态: 授权超时
2016-04-08 12:38:08.874-0700 调试: pan_auth_response_process (pan_auth_state_engine. c: 2591): 用户验证失败 "aserl "通过<"Radius profile",="" "vsys1"="">: 服务器配置文件的远程服务器 10.1.0.20" Radius "已关闭, 或者在重试间隔或请求超时 (经过时间66秒, 最大允许40秒)
</"Radius> </profile:></profile:>
>> 来自 RADIUS 服务器的日志:
=============================================================================================
2016-04-08T17:09:47.067480Z | 0 | 5004 | 5020 | prfad |事件2。
2016-04-08T17:09:47.067480Z | 0 | 5004 | 5020 | prfad |袜子 0x000000000000014C
2016-04-08T17:09:47.067480Z | 0 | 5004 | 5020 | pfrad |代码 1-ACCESS_REQUEST。
2016-04-08T17:09:47.067480Z | 5004 | 5020 | pfrad |收到无效的 ACCESS_REQUEST 数据包. 正在丢弃数据包.
2016-04-08T17:09:47.067480Z | 5004 | 5020 | pfrad |processIncomingPacket 失败。
由于RADIUS 服务器正在丢弃数据包, 并且没有发生对 PAP 身份验证的回退, 导致问题, 因此防火墙没有获得任何成功或质疑响应.
RADIUS 服务器的配置类似于---用户在 GlobalProtect 客户端软件上输入凭据, 并将通过手机接收呼叫请求按 # 确认; 因此, 超时配置更多 (30-40 秒)。
--如果服务器仅配置为使用 PAP 身份验证, 请使用下面的命令来解决这些类型的问题
>> 设置身份验证半径-授权类型 pap
此命令将在重新启动时持续存在, 但不会跨软件更新。
在此命令之后, 用户成功地连接到 GP
Authd 日志
=====================
2016-04-08 13:39:49.991-0700 调试: pan_authd_radius_create_req_payload (pan_authd_radius: 191): 用户名: aserl
2016-04-08 13:40:09.986-0700 调试: pan_make_radius_request_buf (pan_authd_radius_prot. c: 412): 半径请求类型:PAP
2016-04-08 13:40:13.151-0700 调试: pan_authd_radius_parse_resp_payload (pan_authd_radius c: 241): resp_code = RAD_ACCESS_ACCEPT
2016-04-08 13:40:13.151-0700 调试: pan_auth_service_recv_response (pan_auth_service_handle. c: 1202): 获得用户响应: "aserl"
2016-04-08 13:40:13.151-0700 调试: pan_auth_response_process (pan_auth_state_engine: 2424): 授权状态: 授权成功
谢谢。