使用 Kerberos 身份验证时映射的域不正确LDAP导致用户无法通过身份验证的用户
11543
Created On 09/25/18 19:52 PM - Last Modified 03/24/23 07:43 AM
Symptom
- 用户不会使用 Kerberos 身份验证与LDAP服务器配置文件。
- Authd.logs (少 mp-log authd.log ) 表示用户来自错误的域 (accad)。 实际域是accad.local
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','AuthProfile-LDAP','btest'>
panauth:user <accad\\btest,AuthProfile-LDAP,vsys1> is not allowed
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad\\btest authresult not auth'ed
pan_authd_process_authresult(pan_authd.c:1271): Alarm generation set to: False.
User 'accad\\btest' failed authentication. Reason: User is not in allowlist From: 173.182.189.230.
Environment
- 帕洛阿尔托防火墙
- 支持的 PAN-OS
- Kerberos 认证
- LDAP
Cause
域配置不正确。
Resolution
- 域应与 Kerberos 服务器配置文件中的领域相同。
- LDAP 用于用户组映射的服务器配置文件要求 Kerberos 使用完全限定的DOMAIN. 如果LDAP没有使用,domain = aacad 就足够了。
笔记:确保适当的组包含在ALLOW LISTKerberos 身份验证配置文件。
- 更改后的 authd 日志:
pan_authd_service_req(pan_authd.c:2563): Authd:Trying to remote authenticate user: btest
pan_authd_service_auth_req(pan_authd.c:1104): AUTH Request <'vsys1','kerberos','btest'>
pan_authd_common_authenticate(pan_authd.c:1543): Authenticating user using service /etc/pam.d/pan_krb5_vsys1_kerberos,username accad.local\\btest
pan_authd_authenticate_service(pan_authd.c:652): authentication succeeded (0)
pan_authd_authenticate_service(pan_authd.c:658): account is valid
authentication succeeded for user <vsys1,kerberos,accad.local\\btest>
pan_authd_process_authresult(pan_authd.c:1247): pan_authd_process_authresult: accad.local\\btest authresult auth'ed