Falsche Domäne zugeordnet, wenn Kerberos-Authentifizierung für Benutzer verwendet wird, LDAP die begeben, dass Benutzer nicht authentifiziert werden

Falsche Domäne zugeordnet, wenn Kerberos-Authentifizierung für Benutzer verwendet wird, LDAP die begeben, dass Benutzer nicht authentifiziert werden

11535
Created On 09/25/18 19:52 PM - Last Modified 03/24/23 07:43 AM


Symptom


  • Benutzer werden nicht mit der Kerberos-Authentifizierung in Verbindung mit dem LDAP Serverprofil authentifiziert.
  • Authd.logs (weniger mp-log authd.log) zeigen die Benutzer an, die von der falschen Domain (accad) kommen. Die eigentliche Domain ist Accad. lokale
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','AuthProfile-LDAP','btest'>
panauth:user <accad\\btest,AuthProfile-LDAP,vsys1> is not allowed
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad\\btest authresult not auth'ed
pan_authd_process_authresult(pan_authd.c:1271): Alarm generation set to: False.
User 'accad\\btest' failed authentication. Reason: User is not in allowlist From: 173.182.189.230.

 

Environment


  • Palo Alto Firewalls
  • Unterstützt PAN-OS
  • Kerberos-Authentifizierung
  • LDAP

Cause


Falsche Domänenkonfiguration.

Resolution


  1. Domain sollte die gleiche sein wie das Realm in Kerberos Server Profil.
  2. LDAP Für Benutzergruppenzuordnungen wird ein Serverprofil verwendet, bei dem Kerberos eine vollqualifizierte DOMAIN verwendet. Wenn LDAP nicht verwendet wurde, hätte domain = aacad ausgereicht.

Hinweis: Stellen Sie sicher, dass eine entsprechende Gruppe im ALLOW LIST Kerberos-Authentifizierungsprofil enthalten ist.

 

  1. Die authd protokolliert nach der Änderung:
     
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','kerberos','btest'>
pan_authd_common_authenticate(pan_authd.c:1543): Authenticating user using service /etc/pam.d/pan_krb5_vsys1_kerberos,username accad.local\\btest
pan_authd_authenticate_service(pan_authd.c:652): authentication succeeded (0)
pan_authd_authenticate_service(pan_authd.c:658): account is valid
authentication succeeded for user <vsys1,kerberos,accad.local\\btest>
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad.local\\btest authresult auth'ed

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgTCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language