Falsche Domäne zugeordnet, wenn Kerberos-Authentifizierung für Benutzer verwendet wird, LDAP die begeben, dass Benutzer nicht authentifiziert werden
11535
Created On 09/25/18 19:52 PM - Last Modified 03/24/23 07:43 AM
Symptom
- Benutzer werden nicht mit der Kerberos-Authentifizierung in Verbindung mit dem LDAP Serverprofil authentifiziert.
- Authd.logs (weniger mp-log authd.log) zeigen die Benutzer an, die von der falschen Domain (accad) kommen. Die eigentliche Domain ist Accad. lokale
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','AuthProfile-LDAP','btest'>
panauth:user <accad\\btest,AuthProfile-LDAP,vsys1> is not allowed
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad\\btest authresult not auth'ed
pan_authd_process_authresult(pan_authd.c:1271): Alarm generation set to: False.
User 'accad\\btest' failed authentication. Reason: User is not in allowlist From: 173.182.189.230.
Environment
- Palo Alto Firewalls
- Unterstützt PAN-OS
- Kerberos-Authentifizierung
- LDAP
Cause
Falsche Domänenkonfiguration.
Resolution
- Domain sollte die gleiche sein wie das Realm in Kerberos Server Profil.
- LDAP Für Benutzergruppenzuordnungen wird ein Serverprofil verwendet, bei dem Kerberos eine vollqualifizierte DOMAIN verwendet. Wenn LDAP nicht verwendet wurde, hätte domain = aacad ausgereicht.
Hinweis: Stellen Sie sicher, dass eine entsprechende Gruppe im ALLOW LIST Kerberos-Authentifizierungsprofil enthalten ist.
- Die authd protokolliert nach der Änderung:
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','kerberos','btest'>
pan_authd_common_authenticate(pan_authd.c:1543): Authenticating user using service /etc/pam.d/pan_krb5_vsys1_kerberos,username accad.local\\btest
pan_authd_authenticate_service(pan_authd.c:652): authentication succeeded (0)
pan_authd_authenticate_service(pan_authd.c:658): account is valid
authentication succeeded for user <vsys1,kerberos,accad.local\\btest>
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad.local\\btest authresult auth'ed