GlobalProtect Client mit RADIUS Zwei-Faktor-Authentifizierung (2FA) nicht auf die Sicherheitsregel
Resolution
Problem
Der Client, der GlobalProtect RADIUS die Zwei-Faktor-Authentifizierung (2FA) verwendet, trifft die Sicherheitsregel nicht, wenn die Benutzer-/Gruppenzuordnung konfiguriert ist.
Ursache
Das firewall Benutzer-/Gruppenzuordnungsformat von Palo Alto Networks versteht ein DOMAIN USERNAME . Wenn ein GlobalProtect Client, der sich mit dem RADIUS Serverprofil authentifiziert hat, ohne das konfigurierte Domänenfeld, DOMAIN das Teil fehlen könnte. Der firewall verfügt nicht über die Kenntnis der richtigen Benutzer-zu-Gruppen-Zuordnung.
entschluß
Testen Sie das RADIUS Serverprofil ohne das Domänenfeld, das mit dem folgenden Befehl konfiguriert CLI wurde:
> zeigen die aktuellen globalen schützen Gateway Benutzer
GlobalProtect Gateway: GATEWAY2 (1 Benutzer)
Tunnelname : GATEWAY2-N
Domain-Benutzername : .user1 <===== MISSING DOMAIN NAME
Computer : PALO- 34E24R21H0
Kunde:
Mobil ID :
Privat IP : 0.0.0.0
Öffentlich IP : 10.129.31.105
ESP: keine
SSL: keine
Login-Zeit : Sep.03 16:06:31
Logout/Ablauf : Okt.03 16:06:31
TTL: 2592000
Inaktivität TTL : 10800
> Benutzer User-Ip-Mapping zeigen alle
IPVsys Von User IdleTimeout(s) MaxTimeout(s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.112.2 vsys1 GP benutzer1 2591997 2591997 <===== MISSING DOMAIN NAME
Gesamt: 1 Benutzer
2014-09-03 16:06:28.761 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth' ED
2014-09-03 16:06:28.762 + 0800 Anfrage erhalten Sie zum Entsperren vsys1/LDAP_AUTH_PROF/sglab \ user1
2014-09-03 16:06:28.763 + 0800 User ' sglab\user1 ' authentifiziert.Von: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION
2014-09-03 16:06:28.763 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False
2014-09-03 16:06:31.476 + 0800 Debug: pan_authd_service_req (pan_authd. c:3316): authd: der Versuch, den Benutzer zu entfernten authentifizieren: user1
2014-09-03 16:06:31.476 +0800 debug: pan_authd_service_auth_req(pan_authd.c:1158): AUTH Anfrage <'vsys1','RAIDIUS1','user1'>
2014-09-03 16:06:31.480 + 0800 Authentifizierung ist für Benutzer gelungen<vsys1,RAIDIUS1,user1></vsys1,RAIDIUS1,user1>
2014-09-03 16:06:31.480 + 0800 Authentifizierung ist für entfernte Benutzer gelungen<user1(orig:user1)></user1(orig:user1)>
2014-09-03 16:06:31.480 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: user1 authresult auth' ED
2014-09-03 16:06:31.480 +0800 Anforderung empfangen, um vsys1/RAIDIUS1/user zu entsperren1 <===== GP GATEWAY RADIUS AUTHENTICATION
2014-09-03 16:06:31.481 + 0800 User ' user1 ' authentifiziert.Von: 10.129.31.105.
2014-09-03 16:06:31.481 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False
2014-09-03 16:06:31.483 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4444): localprofile Sync wird über sysd ausgelöst
2014-09-03 16:06:31.483 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4464): Holen Sie sich lokale Informationen für vsys1/RAIDIUS1
Ohne den Domänennamen kann der Benutzername für die Sicherheitsregel verwendet werden, sofern er ohne das Teil verwendet DOMAIN wird. Die Gruppenzuordnung funktioniert für den GlobalProtect authentifizierten Benutzer zu diesem Zeitpunkt nicht.
Testen mit RADIUS dem Serverprofil mit dem konfigurierten Domänenfeld:
Radius -
RADIUS {
Server - Server
RADIUS {
secret - AQ ==5en6G6MezRroT3XKqkdPOmY/BfQ=AdEd9ZFNsuxCvAJJtn2Y+; A
Hafen 1812;
ip-Adresse 10.129.31.105;
}
}
prüfgruppe nein;
Domäne sglab; <=====
GlobalProtect Gateway: GATEWAY2 (1 Benutzer)
Tunnelname : GATEWAY2-N
Domain-Benutzername : sglab-user1 <===== CORRECT FORMAT DOMAIN /USERNAME
Computer : PALO- 34E24R21H0
Client : Microsoft Windows Server 2003, Enterprise Edition Service Pack
Mobil ID :
Privat IP : 192.168.112.2
Öffentlich IP : 10.129.31.105
ESP: vorhanden
SSL: keine
Login-Zeit : Sep.03 15:53:06
Logout/Ablauf : Okt.03 15:53:06
TTL: 2591410
Inaktivität TTL : 10210
> Benutzer User-Ip-Mapping zeigen alle
IPVsys Von User IdleTimeout(s) MaxTimeout(s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.112.2 vsys1 GP sglab-user1 2591399 2591399 <===== CORRECT FORMAT DOMAIN /USERNAME
Gesamt: 1 Benutzer
> Schwanz folgen ja mp-log authd.log
2014-09-03 15:53:03.173 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth' ED
2014-09-03 15:53:03.173 + 0800 Anfrage erhalten Sie zum Entsperren vsys1/LDAP_AUTH_PROF/sglab \ user1
2014-09-03 15:53:03.174 + 0800 User ' sglab\user1 ' authentifiziert.Von: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION
2014-09-03 15:53:03.174 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False
2014-09-03 15:53:06.357 + 0800 Debug: pan_authd_service_req (pan_authd. c:3316): authd: Versuch, den Benutzer zu entfernten authentifizieren: user1
2014-09-03 15:53:06.357 +0800 debug: pan_authd_service_auth_req(pan_authd.c:1158): AUTH Anfrage <'vsys1','RAIDIUS1','user1'>
2014-09-03 15:53:06.361 + 0800 Authentifizierung für Nutzer gelungen<vsys1,RAIDIUS1,sglab\user1></vsys1,RAIDIUS1,sglab\user1>
2014-09-03 15:53:06.361 + 0800 Authentifizierung ist für entfernte Benutzer gelungen<sglab\user1(orig:user1)></sglab\user1(orig:user1)>
2014-09-03 15:53:06.361 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth' ED
2014-09-03 15:53:06.361 +0800 Anforderung empfangen, um vsys1/RAIDIUS1/sglab-user1 zu entsperren <===== GP GATEWAY RADIUS AUTHENTICATION
2014-09-03 15:53:06.362 + 0800 User ' sglab\user1 ' authentifiziert.Von: 10.129.31.105.
2014-09-03 15:53:06.362 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False
2014-09-03 15:53:06.364 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4444): localprofile Sync wird über sysd ausgelöst
2014-09-03 15:53:06.364 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4464): Holen Sie sich lokale Informationen für vsys1/RAIDIUS1
Hinweis: Da die Palo Alto-Netzwerke firewall die Benutzernamenauthentifizierung im Format von - an RADIUS den Server DOMAIN USERNAME senden, muss der Server so konfiguriert sein, dass er den Empfang dieses Formats RADIUS versteht, da andernfalls ein Authentifizierungsfehler auftritt.
Mit dem Domain-Namen kann der Benutzername auf der Sicherheitsregel verwendet werden. Benutzer-und Gruppen-Mapping sollten nun richtig funktionieren, wie unten gezeigt:
Dasselbe gilt für das LDAP Serverprofil; das Domänenfeld muss ebenfalls konfiguriert werden, damit die Palo Alto-Netzwerke firewall für DOMAIN USERNAME authentifizierte Benutzer das richtige Format von - GlobalProtect haben:
Besitzer: Jlunario