从6.1.X 升级到 PAN OS 7.1.0 后的 RADIUS 身份验证

21652

Created On 09/25/18 19:49 PM - Last Modified 06/12/23 10:34 AM

Symptom

症状

问题

RADIUS 服务器丢弃数据包, 因为它被配置为只支持 PAP 身份验证。
以下命令不提供输出, 只等待 RADIUS 服务器的响应。

PA-3020 (活动) >测试身份验证验证-配置文件 "Radius 配置文件" 用户名 aserl 密码
输入密码:

诊断

在 PAN OS 7.0.0 之前, PAP 是使用 RADIUS 身份验证时识别的唯一身份验证类型。
RADIUS 服务器的配置方式是只响应 PAP 请求。
在 PAN OS 6.1.x, 帕洛阿尔托网络防火墙只发送 PAP 类型的请求, 在升级后先更改为 try CHAP, 导致问题。

Resolution

只要任何全局保护用户尝试连接到门户和网关, RADIUS 服务器就会悄悄地删除由防火墙发送的访问请求数据包。

>> Authd 从防火墙中记录日志

=============================================================================================

PA-3020 (活动) > 尾巴跟随是尾巴跟随是 mp-日志 authd.log

2016-04-08 12:36:31.734-0700 调试: pan_authd_radius_create_req_payload (pan_authd_radius: 178): 请求类型(CHAP 或 PAP) 尚未确定, authd 尝试向 radius 服务器发送 CHAP 请求10.1.0.20 现在 2016-04-08 12:36:31.734-0700
调试: pan_authd_radius_create_req_payload (pan_authd_radius: 191): 用户名: aserl
2016-04-08 12:36:31.734-0700 调试: pan_make_radius_request_buf (pan_authd_radius_prot. c: 404): radius 请求类型: CHAP

2016-04-08 12:36:35.712-0700调试: cfgagent_doop_callback (pan_cfgagent: 502): 接收到的信号执行代理: authd
2016-04-08 12:36:35.713-0700 调试: pan_authd_show_user_auth_stat_internal (pan_auth_ops. c: 998): 得到最后的
pan_auth_cache_get_vsys_domain_sso_id (pan_auth_cache_authprof_n_authseqprof: 135): 教授 "半径剖面", vsys "vsys1" 有 sso 哈希表 id: 0 (0 表示 no 或无效 keytab)

2016-04-08 12:37:02.820-0700 调试: pan_auth_request_process (pan_auth_state_engine. c: 1647): 尝试验证: <profile: "radius="" profile",="" vsys:="" "vsys1",="" username="" "aserl"="">

2016-04-08 12:37:02.820-0700 调试: _authenticate_by_localdb_or_remote_server (pan_auth_state_engine: 1121): 验证用户 "aserl" 与<profile: "radius="" profile",="" vsys:="" "vsys1"="">
2016-04-08 12:37:02.820-0700 调试: pan_authd_radius_create_req_payload (pan_authd_radius: 178): 请求类型 (CHAP 或 PAP) 尚未确定, authd 尝试向 radius 服务器发送 CHAP 请求10.1.0.20 现在
2016-04-08 12:37:02.820-0700 调试: pan_authd_radius_create_req_payload (pan_authd_半径: 191): 用户名: aserl
2016-04-08 12:37:02.820-0700 调试: pan_make_radius_request_buf (pan_authd_radius_prot: 404): radius 请求类型: CHAP

2016-04-08 12:37:33.873-0700 调试: auth_svr_timeout_sent_request (pan_auth_svr. c: 287): CHAP 超时和重试: authd id=298, 用户名 = aserl, 协议的 id=1, retries=1 (svr ctxt timeout_in_sec 30, max_retries 5) (规定已过31秒; 最大允许40秒)

2016-04-08 12:37:38.873-0700 调试: pan_auth_response_process (pan_auth_state_engine: 2424):非盟状态: 授权超时
2016-04-08 12:37:38.874-0700 调试: _log_auth_respone (pan_auth_server: 243):为用户 "aserl" 发送失败的授权响应 (exp_in_days=0 (-1 从未; 0 在一天之内))
2016-04-08 12:38:08.874-0700 调试: pan_auth_response_process (pan_auth_state_engine: 2424): 授权状态: 授权超时
2016-04-08 12:38:08.874-0700 调试: pan_auth_response_process (pan_auth_state_engine. c: 2591): 用户验证失败 "aserl "通过<"Radius profile",="" "vsys1"="">: 服务器配置文件的远程服务器 10.1.0.20" Radius "已关闭, 或者在重试间隔或请求超时 (经过时间66秒, 最大允许40秒)

</"Radius> </profile:></profile:>

>> 来自 RADIUS 服务器的日志:

=============================================================================================

2016-04-08T17:09:47.067480Z | 0 | 5004 | 5020 | prfad |事件2。
2016-04-08T17:09:47.067480Z | 0 | 5004 | 5020 | prfad |袜子 0x000000000000014C
2016-04-08T17:09:47.067480Z | 0 | 5004 | 5020 | pfrad |代码 1-ACCESS_REQUEST。
2016-04-08T17:09:47.067480Z | 5004 | 5020 | pfrad |收到无效的 ACCESS_REQUEST 数据包. 正在丢弃数据包.
2016-04-08T17:09:47.067480Z | 5004 | 5020 | pfrad |processIncomingPacket 失败。

由于RADIUS 服务器正在丢弃数据包, 并且没有发生对 PAP 身份验证的回退, 导致问题, 因此防火墙没有获得任何成功或质疑响应.

RADIUS 服务器的配置类似于---用户在 GlobalProtect 客户端软件上输入凭据, 并将通过手机接收呼叫请求按 # 确认; 因此, 超时配置更多 (30-40 秒)。

--如果服务器仅配置为使用 PAP 身份验证, 请使用下面的命令来解决这些类型的问题

>> 设置身份验证半径-授权类型 pap

此命令将在重新启动时持续存在, 但不会跨软件更新。

在此命令之后, 用户成功地连接到 GP

Authd 日志

=====================

2016-04-08 13:39:49.991-0700 调试: pan_authd_radius_create_req_payload (pan_authd_radius: 191): 用户名: aserl
2016-04-08 13:40:09.986-0700 调试: pan_make_radius_request_buf (pan_authd_radius_prot. c: 412): 半径请求类型:PAP
2016-04-08 13:40:13.151-0700 调试: pan_authd_radius_parse_resp_payload (pan_authd_radius c: 241): resp_code = RAD_ACCESS_ACCEPT
2016-04-08 13:40:13.151-0700 调试: pan_auth_service_recv_response (pan_auth_service_handle. c: 1202): 获得用户响应: "aserl"
2016-04-08 13:40:13.151-0700 调试: pan_auth_response_process (pan_auth_state_engine: 2424): 授权状态: 授权成功

谢谢。

从6.1.X 升级到 PAN OS 7.1.0 后的 RADIUS 身份验证

Symptom

症状

问题

诊断

Resolution

Other users also viewed: