Sammler versäumte es, SSL Connect vom Client zu akzeptieren, Client-ID-Log zeigt SSL-Fehler
Symptom
Symptome
Konfiguriert eine Palo Alto Networks Firewall als Sammler und die andere als Client, aber User ID Agent wird nicht angezeigt, wie auf Client-Firewall verbunden
Bestätigte Konfigurationen waren korrekt, aber das abgelaufene SSL-Zertifikat kann zu einem Ausfall der Benutzerkennung führen
Resolution
Bitte beachten Sie das folgende Dokument, um Palo Alto Networks Firewall als Sammler zu konfigurieren, um die Benutzer-IP-Kartierung an Ihren Client weiterzugeben
Wie man Palo Alto Networks Firewall als Sammler konfiguriert
Wenn der UID-Agent zeigt, dass er nach den richtigen Konfigurationen nicht unter der Registerkarte Benutzeridentifikation angeschlossen ist
Dann ÜberPrüfen Sie die Benutzer-ID-Protokolle
Diese Protokolle stammen von der Client- Firewall
PA-3020-FW-(aktiv) > Schwanz folgen ja MP-Log useridd. log
2016-03-07 14:18:52.170-0600 Error: pan_ssl_conn_open (pan_ssl_utils. c:694): Fehler: keine Verbindung zu 10.1.2.1 (Quelle: 10.1.1.1), SSL-Fehler: Fehler: 00000000: lib (0): Func (0): )
2016-03-07 14:18:57.235-0600 Error: pan_ssl_conn_open (pan_ssl_utils. c:694): Fehler: keine Verbindung zu 10.1.2.1 (Quelle: 10.1.1.1), SSL-Fehler: Fehler: 00000000: lib (0): Func (0): Reason (0) (5)
2016-03-07 14:19:02.298-0600 Fehler: pan_ssl_ conn_open (pan_ssl_utils. c:694): Fehler: keine Verbindung zu 10.1.2.1 (Quelle: 10.1.1.1), SSL-Fehler: Fehler: 00000000: lib (0): Func (0): Reason (0) (0)
2016-03-07 14:19:07.360-0600 Fehler: pan_ssl_conn_open (pan_ssl_utils. C:694): Fehler: Keine Verbindung zu 10.1.2.1 (Quelle: 10.1.1.1), SSL-Fehler: Fehler: 00000000: lib (0): Func (0): Reason (0) (0)
2016-03-07 14:19:09.544-0600 Fehler: pan_ip_probe_update_result (pan_user_id_win. c:207): nicht zu entfernen Mapping 10.204.15.13- unigroupinc\tacc1
2016-0
Diese Protokolle stammen von der Collector Firewall
PA-500-FW > Schwanz folgen ja MP-Log useridd. log
hat SSL Connect von 10.1.2.1
2016-03-07 14:30:01.317-0600 Fehler: pan_user_id_client_proc (pan_user_id_client. c:2591): pan_user_id_client_accept () failed
2016-03-07 14:30:06.471-0600 Error: pan_ssl_conn_accept (pan_ssl_utils. c:794): nicht akzeptiert SSL Connect von 10.1.2.1
2016-03-07 14:30:06
Agent sagt, dass es nicht gelungen ist, sich mit dem Sammler aufgrund von SSL-Fehler zu verbinden, und Collector sagt, SSL Connect nicht zu akzeptieren
Das Problem ist wahrscheinlich, das UDPATED-Zertifikat ist nicht auf der Firewall-casusing der Benutzer-ID-Kommunikationsfehler vorhanden
Lösung 1:
Installieren Sie jede APP und Bedrohung Version 550 oder 550 +
Wenn es bereits dort versuchen, die APP und Theat-Version neu zu installieren und wenn es nicht das Problem behandelt
Lösung 2
Neustart des UserID-Daemons, der sich mit Sicherheit mit dem Problem befasst
PA-3020-FW-(aktiv) > Debug-Software Neustart Process User-ID
Nun wird der User-ID-Agent als Connected angezeigt und der Client lernt den Benutzer zu IP-Mapping von der Collector Firewall
Führen Sie den unten stehenden Befehl auf dem Client aus und Sie werden in der Lage sein, alle Karten zu sehen, die der Sammler neu verteilt hat.
an den Kunden.
Führen Sie den unten stehenden Befehl auf dem Kollektor aus und überprüfen Sie die über UIA erlernte Kartierung
admin @ PA-2 > Benutzer-IP anzeigen-Benutzer-Mapping all
IP Vsys von User
--------- ------ ------ -------------- --------------
192.168.11.1 vsys1 UIA palotest
Danke