Le collecteur n'a pas pu accepter la connexion SSL à partir du client, le journal d'id utilisateur client affiche l'erreur SSL
Symptom
Symptômes
Configuré un pare-feu Palo Alto Networks en tant que collecteur et L'autre en tant que client, mais l'agent ID utilisateur ne s'affiche pas comme connecté sur le pare-feu client
Les configurations confirmées étaient correctes, mais le certificat SSL expiré peut provoquer l'échec de communication de l'ID utilisateur
Resolution
Reportez-vous au document ci-dessous pour configurer le pare-feu de Palo Alto Networks en tant que collecteur pour redistribuer le mappage IP de l'utilisateur à son client
Comment configurer le pare-feu de Palo Alto Networks en tant que collectionneur
Si l'agent UID apparaît comme non connecté sous l'onglet identification utilisateur du périphérique après avoir fait les configurations correctes
Puis vérifiez les journaux d'identification d'utilisateur
Ces journaux proviennent du pare-feu client
PA-3020-FW-(active) > queue suivre Oui MP-log useridd. log
2016-03-07 14:18:52.170-0600 erreur: pan_ssl_conn_open (pan_ssl_utils. c:694): erreur: impossible de se connecter à 10.1.2.1 (source: 10.1.1.1), erreur SSL: erreur: 00000000: lib (0): Func (0): Reason (0) (0 )
2016-03-07 14:18:57.235-0600 erreur: pan_ssl_conn_open (pan_ssl_utils. c:694): erreur: impossible de se connecter à 10.1.2.1 (source: 10.1.1.1), erreur SSL: erreur: 00000000: lib (0): Func (0): Reason (0) (5)
2016-03-07 14:19:02.298-0600 erreur: pan_ssl_ conn_open (pan_ssl_utils. c:694): erreur: impossible de se connecter à 10.1.2.1 (source: 10.1.1.1), erreur SSL: erreur: 00000000: lib (0): Func (0): Reason (0) (0)
2016-03-07 14:19:07.360-0600 erreur: pan_ssl_conn_open (pan_ssl_utils. c:694): erreur: Impossible de se connecter à 10.1.2.1 (source: 10.1.1.1), erreur SSL: erreur: 00000000: lib (0): Func (0): Reason (0) (0)
2016-03-07 14:19:09.544-0600 erreur: pan_ip_probe_update_result (pan_user_id_win. c:207): impossible de supprimer le mappage 10.204.15.13- unigroupinc\tacc1
2016-0
Ces journaux proviennent du pare-feu Collector
PA-500-FW > queue suivre Oui MP-log useridd. log
n'a pas pu accepter SSL Connect de 10.1.2.1
2016-03-07 14:30:01.317-0600 erreur: pan_user_id_client_proc (pan_user_id_client. c:2591): pan_user_id_client_accept () a échoué
2016-03-07 14:30:06.471-0600 erreur: pan_ssl_conn_accept (pan_ssl_utils. c:794): Impossible d'accepter SSL Connect de 10.1.2.1
2016-03-07 14:30:06
Agent dit n'a pas pu se connecter au collecteur en raison d'une erreur SSL et le collecteur dit n'a pas pu accepter SSL Connect
Le problème est probable, le certificat UDPATED n'est pas présent sur le pare-feu casusing l'échec de communication de l'ID utilisateur
Solution 1:
Installez n'importe quelle application et menace version 550 ou 550 +
Si son déjà là essayer de réinstaller l'application et theat version et si elle n'a pas abordé la question
Solution 2
Redémarrer le démon userid qui va certainement répondre à la question
PA-3020-FW-(active) > debug Software restart processus utilisateur-ID
Maintenant l'agent d'identification d'utilisateur montrera comme connecté et le client apprendra l'utilisateur à la cartographie d'ip du pare-feu de collecteur
Exécutez la commande ci-dessous sur le client et vous serez en mesure de voir tous les mappages que le collecteur a redistribué
au client.
Exécutez la commande ci-dessous sur le collecteur et vérifiez le mappage appris via UIA
admin @ PA-2 > afficher l'utilisateur IP-utilisateur-Mapping tous
IP VSys de l'Utilisateur
--------- ------ ------ -------------- --------------
192.168.11.1 vsys1 UIA Palotest
Merci