GlobalProtect Cliente que utiliza RADIUS la autenticación de dos factores (2FA) que no alcanza la regla de seguridad

GlobalProtect Cliente que utiliza RADIUS la autenticación de dos factores (2FA) que no alcanza la regla de seguridad

44728
Created On 09/26/18 13:48 PM - Last Modified 06/16/23 18:26 PM


Resolution


Problema

El GlobalProtect cliente que utiliza la autenticación de dos factores RADIUS (2FA) no está pulsando la regla de seguridad con la asignación de usuario/grupo configurada.

 

Causa

Palo Alto Networks firewall formato de asignación de usuarios/grupos entiende un \ DOMAIN USERNAME . Si un GlobalProtect cliente autenticado mediante el RADIUS perfil del servidor sin el campo de dominio configurado, podría faltar la DOMAIN pieza. firewallEl no tiene el conocimiento del usuario adecuado para la asignación de grupos.

77777. png


Instantánea del perfil de RADIUS autenticación

 

Resolución

Pruebe el RADIUS perfil del servidor sin el campo de dominio configurado mediante el siguiente CLI comando:

> Mostrar usuario actual global-proteger-gateway

 

GlobalProtect Puerta de enlace: GATEWAY2 (1 usuarios)

Nombre del túnel : GATEWAY2-N

        Nombre de usuario del dominio : \user1 <===== MISSING DOMAIN NAME     

      Ordenador : PALO- 34E24R21H0

Cliente:

Móvil ID :

Privado IP : 0.0.0.0

Público IP : 10.129.31.105

        ESP: ninguno

        SSL: ninguno

Hora de inicio de sesión : Sep.03 16:06:31

Cierre de sesión/Vencimiento : Oct.03 16:06:31

        TTL: 2592000

Inactividad TTL : 10800

 

 

&gt; Mostrar usuario ip mapping de usuario todos

 

 

IPVsys Desde idletimeout(s) del usuario(s) MaxTimeout(s)

--------------- ------ ------- -------------------------------- -------------- -------------

192.168.112.2 vsys1 GP user1 2591997 2591997 <===== MISSING DOMAIN NAME

Total: 1 usuarios

 

2014-09-03 16:06:28.761 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth'ed

2014-09-03 16:06:28.762 + 0800 solicitud recibida para desbloquear vsys1/LDAP_AUTH_PROF/sglab \ user1

2014-09-03 16:06:28.763 + 0800 usuario ' sglab\user1 ' autenticado.Desde: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION

2014-09-03 16:06:28.763 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False

2014-09-03 16:06:31.476 + 0800 Debug: pan_authd_service_req (pan_authd. c:3316): authd: tratar de autenticar remoto usuario: user1

2014-09-03 16:06:31.476 +0800 debug: pan_authd_service_auth_req(pan_authd.c:1158): AUTH Solicitud <'vsys1','RAIDIUS1','user1'>

2014-09-03 16:06:31.480 + 0800 autenticación con éxito para el usuario<vsys1,RAIDIUS1,user1></vsys1,RAIDIUS1,user1>

2014-09-03 16:06:31.480 + 0800 autenticación con éxito para el usuario remoto<user1(orig:user1)></user1(orig:user1)>

2014-09-03 16:06:31.480 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: user1 authresult auth'ed

2014-09-03 16:06:31.480 +0800 Solicitud recibida para desbloquear vsys1/RAIDIUS1/user1 <===== GP GATEWAY RADIUS AUTHENTICATION

2014-09-03 16:06:31.481 + 0800 usuario ' user1 ' autenticado.Desde: 10.129.31.105.

2014-09-03 16:06:31.481 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False

2014-09-03 16:06:31.483 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4444): localprofile Sync desencadenado a través de SYSD

2014-09-03 16:06:31.483 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4464): obtener información local para vsys1/RAIDIUS1

 

Sin el nombre de dominio, el nombre de usuario se puede utilizar en la regla de seguridad, siempre que se utilice sin la DOMAIN pieza. La asignación de grupos no funcionará para el GlobalProtect usuario autenticado en este momento.

Instantánea de la lista de Policy seguridad

 

Pruebe con RADIUS perfil de servidor con el campo de dominio configurado:

     radio {

        RADIUS {

servidor {

            RADIUS {

secreto - AQ ==5en6G6MezRroT3XKqkdPOmY/BfQ=AdEd9ZFNsuxCvAJJtn2Y+ A ==;

puerto 1812;

dirección IP 10.129.31.105;

}

}

grupo de verificación no;

esglab de dominio; <=====

 

  GlobalProtect Puerta de enlace: GATEWAY2 (1 usuarios)

Nombre del túnel : GATEWAY2-N

  Nombre de usuario del dominio : sglab\user1 <===== CORRECT FORMAT DOMAIN /USERNAME

      Ordenador : PALO- 34E24R21H0

Cliente : Microsoft Windows Server 2003, Service Pack Enterprise Edition

Móvil ID :

Privado IP : 192.168.112.2

Público IP : 10.129.31.105

        ESP: existen

        SSL: ninguno

Hora de inicio de sesión : Sep.03 15:53:06

Cierre de sesión/Vencimiento : Oct.03 15:53:06

        TTL: 2591410

Inactividad TTL : 10210

 

 

&gt; Mostrar usuario ip mapping de usuario todos

 

 

IPVsys Desde idletimeout(s) del usuario(s) MaxTimeout(s)

--------------- ------ ------- -------------------------------- -------------- -------------

192.168.112.2 vsys1 GP sglab\user1 2591399 2591399 <===== CORRECT FORMAT DOMAIN /USERNAME

Total: 1 usuarios

 

 

> cola seguir sí mp-log authd.log

2014-09-03 15:53:03.173 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth'ed

2014-09-03 15:53:03.173 + 0800 solicitud recibida para desbloquear vsys1/LDAP_AUTH_PROF/sglab \ user1

2014-09-03 15:53:03.174 + 0800 usuario ' sglab\user1 ' autenticado.Desde: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION

2014-09-03 15:53:03.174 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False

2014-09-03 15:53:06.357 + 0800 Debug: pan_authd_service_req (pan_authd. c:3316): authd: tratar de autenticar remoto usuario: user1

2014-09-03 15:53:06.357 +0800 debug: pan_authd_service_auth_req(pan_authd.c:1158): AUTH Solicitud <'vsys1','RAIDIUS1','user1'>

2014-09-03 15:53:06.361 + 0800 autenticación con éxito para el usuario<vsys1,RAIDIUS1,sglab\user1></vsys1,RAIDIUS1,sglab\user1>

2014-09-03 15:53:06.361 + 0800 autenticación con éxito para el usuario remoto<sglab\user1(orig:user1)></sglab\user1(orig:user1)>

2014-09-03 15:53:06.361 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth'ed

2014-09-03 15:53:06.361 +0800 Solicitud recibida para desbloquear vsys1/RAIDIUS1/sglab\user1 <===== GP GATEWAY RADIUS AUTHENTICATION

2014-09-03 15:53:06.362 + 0800 usuario ' sglab\user1 ' autenticado.Desde: 10.129.31.105.

2014-09-03 15:53:06.362 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False

2014-09-03 15:53:06.364 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4444): localprofile Sync desencadenado a través de SYSD

2014-09-03 15:53:06.364 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4464): obtener información local para vsys1/RAIDIUS1

 

Nota: Puesto que palo alto networks firewall está enviando autenticación de nombre de usuario al servidor en el formato de \ , el RADIUS servidor debe DOMAIN USERNAME RADIUS configurarse para entender la recepción de este formato, de lo contrario se producirá un error de autenticación.

 

Con el nombre de dominio se puede utilizar el usuario en la regla de seguridad. Ahora, el usuario y la asignación de grupos deben funcionar correctamente, como se muestra a continuación:

7777777. png

 

Lo mismo se aplica para el perfil del LDAP servidor; el campo del dominio también necesita ser configurado para que las redes de Palo Alto firewall tengan el formato correcto de \ para los usuarios DOMAIN USERNAME GlobalProtect autenticados:

77777777. png

 

Propietario: jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpJCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language