Domaine incorrect cartographié lorsque l’authentification Kerberos est utilisée pour les LDAP utilisateurs, ce qui fait que les utilisateurs ne sont pas authentifiés

Domaine incorrect cartographié lorsque l’authentification Kerberos est utilisée pour les LDAP utilisateurs, ce qui fait que les utilisateurs ne sont pas authentifiés

11539
Created On 09/25/18 19:52 PM - Last Modified 03/24/23 07:43 AM


Symptom


  • Les utilisateurs ne sont pas authentifiés à l’aide de l’authentification Kerberos en conjonction LDAP avec le profil du serveur.
  • Authd.logs (moins mp-log authd.log) indique les utilisateurs provenant d’un domaine incorrect (accad). Le domaine réel est Accad. local
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','AuthProfile-LDAP','btest'>
panauth:user <accad\\btest,AuthProfile-LDAP,vsys1> is not allowed
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad\\btest authresult not auth'ed
pan_authd_process_authresult(pan_authd.c:1271): Alarm generation set to: False.
User 'accad\\btest' failed authentication. Reason: User is not in allowlist From: 173.182.189.230.

 

Environment


  • Pare-feu Palo Alto
  • Soutenu PAN-OS
  • Authentification Kerberos
  • LDAP

Cause


Configuration de domaine incorrecte.

Resolution


  1. Le domaine doit être le même que le Royaume dans le profil de serveur Kerberos.
  2. LDAP profil serveur utilisé pour les cartographies de groupe d’utilisateurs exige Kerberos d’utiliser un pleinement qualifié DOMAIN . Si LDAP elle n’avait pas été utilisée, domaine = aacad aurait suffi.

Note: Assurez-vous qu’un groupe approprié est inclus dans le profil ALLOW LIST d’authentification Kerberos.

 

  1. L’authentification se connecte après avoir effectué la modification :
     
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','kerberos','btest'>
pan_authd_common_authenticate(pan_authd.c:1543): Authenticating user using service /etc/pam.d/pan_krb5_vsys1_kerberos,username accad.local\\btest
pan_authd_authenticate_service(pan_authd.c:652): authentication succeeded (0)
pan_authd_authenticate_service(pan_authd.c:658): account is valid
authentication succeeded for user <vsys1,kerberos,accad.local\\btest>
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad.local\\btest authresult auth'ed

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgTCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language