Dominio incorrecto asignado cuando se utiliza la autenticación Kerberos para LDAP los usuarios, lo que hace que los usuarios no se autentiquen

Dominio incorrecto asignado cuando se utiliza la autenticación Kerberos para LDAP los usuarios, lo que hace que los usuarios no se autentiquen

11537
Created On 09/25/18 19:52 PM - Last Modified 03/24/23 07:43 AM


Symptom


  • Los usuarios no se autentican mediante la autenticación Kerberos junto con el LDAP perfil del servidor.
  • Authd.logs (menos mp-log authd.log) indica los usuarios que provienen de un dominio incorrecto (accad). El dominio real es acad. local
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','AuthProfile-LDAP','btest'>
panauth:user <accad\\btest,AuthProfile-LDAP,vsys1> is not allowed
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad\\btest authresult not auth'ed
pan_authd_process_authresult(pan_authd.c:1271): Alarm generation set to: False.
User 'accad\\btest' failed authentication. Reason: User is not in allowlist From: 173.182.189.230.

 

Environment


  • Palo Alto Firewalls
  • Apoyado PAN-OS
  • Autenticación Kerberos
  • LDAP

Cause


Configuración incorrecta del dominio.

Resolution


  1. El dominio debe ser el mismo que el Reino en el perfil del servidor Kerberos.
  2. LDAP el perfil de servidor utilizado para las asignaciones de grupos de usuarios requiere que Kerberos utilice un archivo DOMAIN completo. Si LDAP no se hubiera utilizado, dominio = aacad habría sido suficiente.

Nota: Asegúrese de que se incluya un grupo adecuado en el ALLOW LIST perfil de autenticación Kerberos.

 

  1. Los registros authd después de realizar el cambio:
     
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','kerberos','btest'>
pan_authd_common_authenticate(pan_authd.c:1543): Authenticating user using service /etc/pam.d/pan_krb5_vsys1_kerberos,username accad.local\\btest
pan_authd_authenticate_service(pan_authd.c:652): authentication succeeded (0)
pan_authd_authenticate_service(pan_authd.c:658): account is valid
authentication succeeded for user <vsys1,kerberos,accad.local\\btest>
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad.local\\btest authresult auth'ed

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgTCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language