El colector no aceptó la conexión SSL del cliente, el registro de ID de usuario del cliente muestra el error SSL
Symptom
Síntomas de
Configuré un firewall de Palo Alto Networks como un colector y el otro como cliente pero el agente de ID de usuario no está mostrando como conectado en cliente firewall
Las configuraciones confirmadas eran correctas, pero el certificado SSL expirado puede causar fallo de comunicación de ID de usuario
Resolution
Consulte el documento siguiente para configurar el cortafuegos de Palo Alto Networks como selector para redistribuir la asignación de IP de usuario a su cliente
Cómo configurar el cortafuegos de Palo Alto Networks como colector
Si el agente UID se muestra como no conectado en la ficha IDENTICATION usuario del dispositivo después de realizar las configuraciones correctas
A continuación, compruebe los registros de ID de usuario
Estos registros son del Firewall de cliente
PA-3020-FW-(activo) > cola seguir sí MP-log ID. log
2016-03-07 14:18:52.170-0600 error: pan_ssl_conn_open (pan_ssl_utils. c:694): error: no se pudo conectar a 10.1.2.1 (fuente: 10.1.1.1), SSL error: error: 00000000: lib (0): FUNC (0): Reason (0) (0 )
2016-03-07 14:18:57.235-0600 error: pan_ssl_conn_open (pan_ssl_utils. c:694): error: no se pudo conectar a 10.1.2.1 (fuente: 10.1.1.1), error SSL: error: 00000000: lib (0): FUNC (0): Reason (0) (5)
2016-03-07 14:19:02.298-0600 error: pan_ssl_ conn_open (pan_ssl_utils. c:694): error: no se pudo conectar a 10.1.2.1 (fuente: 10.1.1.1), SSL error: error: 00000000: lib (0): FUNC (0): Reason (0) (0)
2016-03-07 14:19:07.360-0600 error: pan_ssl_conn_open (pan_ssl_utils. c:694): error: No se pudo conectar a 10.1.2.1 (fuente: 10.1.1.1), SSL error: error: 00000000: lib (0): FUNC (0): Reason (0) (0)
2016-03-07 14:19:09.544-0600 error: pan_ip_probe_update_result (pan_user_id_win. c:207): no se pudo quitar la asignación 10.204.15.13- unigroupinc\tacc1
2016-0
Estos registros son del servidor de seguridad del colector
PA-500-FW > cola seguir sí MP-log de ID. log
no pudo aceptar la conexión SSL de 10.1.2.1
2016-03-07 14:30:01.317-0600 error: pan_user_id_client_proc (pan_user_id_client. c:2591): pan_user_id_client_accept () falló
2016-03-07 14:30:06.471-0600 error: pan_ssl_conn_accept (pan_ssl_utils. c:794): no se pudo aceptar la conexión SSL de 10.1.2.1
2016-03-07 14:30:06
El agente está diciendo que no se pudo conectar al colector debido a un error SSL y el selector está diciendo que no aceptó la conexión SSL
El problema es probable, el certificado udpated no está presente en el cortafuegos casusing el error de comunicación de ID de usuario
Solución 1:
Instala cualquier App y amenaza versión 550 o 550 +
Si ya está allí intenta reinstalar la App y la versión theat y si no se aborda el tema
Solución 2
Reiniciar el demonio de ID de usuario que sin duda se ocupará del problema
PA-3020-FW-(activo) > Debug software restart Process ID de usuario
Ahora el agente de identificación de usuario mostrará como conectado y el cliente aprenderá el usuario a la asignación de IP desde el Firewall de coleccionista
Ejecute el comando de abajo en el cliente y podrá ver toda la cartografía que el coleccionista ha redistribuido
al cliente.
Ejecute el comando siguiente en el selector y Compruebe la cartografía aprendida a través de la UIA
admin @ PA-2 > Mostrar usuario IP-usuario-mapeo todo
IP Vsys del usuario
--------- ------ ------ -------------- --------------
192.168.11.1 vsys1 UIA palotet
Gracias