GlobalProtect Client utilisant RADIUS l’authentification de deux facteurs (2FA) n’atteignant pas la règle de sécurité
Resolution
Question
Le GlobalProtect client utilisant Two Factor RADIUS Authentication (2FA) n’atteint pas la règle de sécurité avec la cartographie utilisateur/groupe configurée.
Cause
Palo Alto Networks firewall utilisateur / groupe-mapping format comprend un DOMAIN \ USERNAME . Si un GlobalProtect client authentifié à RADIUS l’aide du profil serveur sans le champ de domaine configuré DOMAIN la pièce pourrait manquer. Le firewall n’a pas la connaissance de l’utilisateur approprié à la cartographie de groupe.
Résolution
Testez RADIUS le profil serveur sans le champ de domaine configuré en utilisant la commande suivante CLI :
> montrer global-protéger-passerelle courant-utilisateur
GlobalProtect Passerelle: GATEWAY2 (1 utilisateurs)
Nom du tunnel : GATEWAY2-N
Nom d’utilisateur de domaine : \user1 <===== MISSING DOMAIN NAME
Ordinateur : PALO- 34E24R21H0
Client:
Mobile ID :
Privé IP : 0.0.0.0
Public IP : 10.129.31.105
ESP: aucun
SSL: aucun
Heure de connexion : Sep.03 16:06:31
Logout/Expiration : Oct.03 16:06:31
TTL: 2592000
TTLInactivité : 10800
> montrer utilisateur ip-utilisateur-cartographie tous les
IPVsys From User IdleTimeout(s) MaxTimeout(s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.112.2 vsys1 GP utilisateur1 2591997 2591997 <===== MISSING DOMAIN NAME
Total : 1 utilisateurs
2014-09-03 16:06:28.761 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth'ed
2014-09-03 16:06:28.762 + 0800 demande reçue pour déverrouiller vsys1/LDAP_AUTH_PROF/sglab \ User1
2014-09-03 16:06:28.763 + 0800 utilisateur'sglab\user1 'authentifié.De: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION
2014-09-03 16:06:28.763 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False
2014-09-03 16:06:31.476 + 0800 Debug: pan_authd_service_req (pan_authd. c:3316): authd: essayer d'authentifier à distance utilisateur: User1
2014-09-03 16:06:31.476 +0800 debug: pan_authd_service_auth_req(pan_authd.c:1158): AUTH Demande <'vsys1','RAIDIUS1','user1'>
2014-09-03 16:06:31.480 + 0800 authentification réussie pour l'utilisateur<vsys1,RAIDIUS1,user1></vsys1,RAIDIUS1,user1>
2014-09-03 16:06:31.480 + 0800 authentification réussie pour l'utilisateur distant<user1(orig:user1)></user1(orig:user1)>
2014-09-03 16:06:31.480 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: User1 authresult auth'ed
2014-09-03 16:06:31.480 +0800 Demande reçue pour déverrouiller vsys1/RAIDIUS1/user1 <===== GP GATEWAY RADIUS AUTHENTICATION
2014-09-03 16:06:31.481 + 0800 utilisateur'user1 'authentifié.De: 10.129.31.105.
2014-09-03 16:06:31.481 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False
2014-09-03 16:06:31.483 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4444): localprofile Sync déclenché via sysd
2014-09-03 16:06:31.483 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4464): obtenir des informations locales pour vsys1/RAIDIUS1
Sans le nom de domaine, le nom d’utilisateur peut être utilisé sur la règle de sécurité, à condition qu’il soit utilisé sans DOMAIN la pièce. La cartographie de groupe ne fonctionnera pas pour l’utilisateur GlobalProtect authentifié à ce stade.
Testez avec RADIUS le profil serveur avec le champ de domaine configuré :
rayon {
RADIUS {
serveur {
RADIUS {
secret - AQ ==5en6G6MezRroT3XKqkdPOmY/BfQ=AdEd9ZFNsuxCvAJJtn2Y+ A ==;
port 1812;
adresse ip 10.129.31.105;
}
}
checkgroup non;
domaine sglab; <=====
GlobalProtect Passerelle: GATEWAY2 (1 utilisateurs)
Nom du tunnel : GATEWAY2-N
Nom d’utilisateur de domaine : sglab\user1 <===== CORRECT FORMAT DOMAIN /USERNAME
Ordinateur : PALO- 34E24R21H0
Client : Microsoft Windows Server 2003, Enterprise Edition Service Pack
Mobile ID :
Privé IP : 192.168.112.2
Public IP : 10.129.31.105
ESP: exister
SSL: aucun
Heure de connexion : Sep.03 15:53:06
Logout/Expiration : Oct.03 15:53:06
TTL: 2591410
TTLInactivité : 10210
> montrer utilisateur ip-utilisateur-cartographie tous les
IPVsys From User IdleTimeout(s) MaxTimeout(s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.112.2 vsys1 GP sglab\user1 2591399 2591399 <===== CORRECT FORMAT DOMAIN /USERNAME
Total : 1 utilisateurs
> queue suivre oui mp-log authd.log
2014-09-03 15:53:03.173 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth'ed
2014-09-03 15:53:03.173 + 0800 demande reçue pour déverrouiller vsys1/LDAP_AUTH_PROF/sglab \ User1
2014-09-03 15:53:03.174 + 0800 utilisateur'sglab\user1 'authentifié.De: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION
2014-09-03 15:53:03.174 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False
2014-09-03 15:53:06.357 + 0800 Debug: pan_authd_service_req (pan_authd. c:3316): authd: essayer d'authentifier à distance utilisateur: User1
2014-09-03 15:53:06.357 +0800 debug: pan_authd_service_auth_req(pan_authd.c:1158): AUTH Demande <'vsys1','RAIDIUS1','user1'>
2014-09-03 15:53:06.361 + 0800 authentification réussie pour l'utilisateur<vsys1,RAIDIUS1,sglab\user1></vsys1,RAIDIUS1,sglab\user1>
2014-09-03 15:53:06.361 + 0800 authentification réussie pour l'utilisateur distant<sglab\user1(orig:user1)></sglab\user1(orig:user1)>
2014-09-03 15:53:06.361 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth'ed
2014-09-03 15:53:06.361 +0800 Demande reçue pour débloquer vsys1/RAIDIUS1/sglab\user1 <===== GP GATEWAY RADIUS AUTHENTICATION
2014-09-03 15:53:06.362 + 0800 utilisateur'sglab\user1 'authentifié.De: 10.129.31.105.
2014-09-03 15:53:06.362 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False
2014-09-03 15:53:06.364 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4444): localprofile Sync déclenché via sysd
2014-09-03 15:53:06.364 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4464): obtenir des informations locales pour vsys1/RAIDIUS1
Note: Étant donné que les réseaux De Palo Alto firewall envoie l’authentification de nom d’utilisateur RADIUS au serveur dans le format de \ , le serveur doit être DOMAIN configuré pour comprendre la réception de ce USERNAME RADIUS format, sinon l’échec d’authentification se produira.
Avec le nom de domaine, l'identifiant peut être utilisé sur la règle de sécurité. L'Utilisateur et le mappage de groupe doivent maintenant fonctionner correctement, comme indiqué ci-dessous:
Il en va de même pour LDAP le profil serveur; le champ de domaine doit également être configuré afin que les réseaux de Palo Alto firewall aient le format correct de \ pour les utilisateurs DOMAIN USERNAME GlobalProtect authentifiés :
propriétaire : jlunario