Domaine incorrect cartographié lorsque l’authentification Kerberos est utilisée pour les LDAP utilisateurs, ce qui fait que les utilisateurs ne sont pas authentifiés
11539
Created On 09/25/18 19:52 PM - Last Modified 03/24/23 07:43 AM
Symptom
- Les utilisateurs ne sont pas authentifiés à l’aide de l’authentification Kerberos en conjonction LDAP avec le profil du serveur.
- Authd.logs (moins mp-log authd.log) indique les utilisateurs provenant d’un domaine incorrect (accad). Le domaine réel est Accad. local
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','AuthProfile-LDAP','btest'>
panauth:user <accad\\btest,AuthProfile-LDAP,vsys1> is not allowed
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad\\btest authresult not auth'ed
pan_authd_process_authresult(pan_authd.c:1271): Alarm generation set to: False.
User 'accad\\btest' failed authentication. Reason: User is not in allowlist From: 173.182.189.230.
Environment
- Pare-feu Palo Alto
- Soutenu PAN-OS
- Authentification Kerberos
- LDAP
Cause
Configuration de domaine incorrecte.
Resolution
- Le domaine doit être le même que le Royaume dans le profil de serveur Kerberos.
- LDAP profil serveur utilisé pour les cartographies de groupe d’utilisateurs exige Kerberos d’utiliser un pleinement qualifié DOMAIN . Si LDAP elle n’avait pas été utilisée, domaine = aacad aurait suffi.
Note: Assurez-vous qu’un groupe approprié est inclus dans le profil ALLOW LIST d’authentification Kerberos.
- L’authentification se connecte après avoir effectué la modification :
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','kerberos','btest'>
pan_authd_common_authenticate(pan_authd.c:1543): Authenticating user using service /etc/pam.d/pan_krb5_vsys1_kerberos,username accad.local\\btest
pan_authd_authenticate_service(pan_authd.c:652): authentication succeeded (0)
pan_authd_authenticate_service(pan_authd.c:658): account is valid
authentication succeeded for user <vsys1,kerberos,accad.local\\btest>
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad.local\\btest authresult auth'ed