Kerberos 認証が使用されている場合にマッピングされるドメインが正しくないLDAPユーザーが認証されない原因となるユーザー
11539
Created On 09/25/18 19:52 PM - Last Modified 03/24/23 07:43 AM
Symptom
- Kerberos 認証と組み合わせて使用すると、ユーザーは認証されません。LDAPサーバー プロファイル。
- Authd.logs (少ない mp-log authd.log ) 間違ったドメイン (accad) からのユーザーを示します。 実際のドメインは acad.local です
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','AuthProfile-LDAP','btest'>
panauth:user <accad\\btest,AuthProfile-LDAP,vsys1> is not allowed
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad\\btest authresult not auth'ed
pan_authd_process_authresult(pan_authd.c:1271): Alarm generation set to: False.
User 'accad\\btest' failed authentication. Reason: User is not in allowlist From: 173.182.189.230.
Environment
- パロアルト ファイアウォール
- 対応 PAN-OS
- ケルベロス認証
- LDAP
Cause
ドメイン構成が正しくありません。
Resolution
- ドメインは、Kerberos サーバー プロファイルのレルムと同じである必要があります。
- LDAP ユーザー グループ マッピングに使用されるサーバー プロファイルでは、Kerberos が完全修飾プロファイルを使用する必要があります。DOMAIN . もしもLDAPdomain = aacad で十分です。
ノート:適切なグループがALLOW LISTKerberos 認証プロファイルの。
- 変更を行った後の authd ログ:
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','kerberos','btest'>
pan_authd_common_authenticate(pan_authd.c:1543): Authenticating user using service /etc/pam.d/pan_krb5_vsys1_kerberos,username accad.local\\btest
pan_authd_authenticate_service(pan_authd.c:652): authentication succeeded (0)
pan_authd_authenticate_service(pan_authd.c:658): account is valid
authentication succeeded for user <vsys1,kerberos,accad.local\\btest>
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad.local\\btest authresult auth'ed