GlobalProtect Client utilisant RADIUS l’authentification de deux facteurs (2FA) n’atteignant pas la règle de sécurité

GlobalProtect Client utilisant RADIUS l’authentification de deux facteurs (2FA) n’atteignant pas la règle de sécurité

44723
Created On 09/26/18 13:48 PM - Last Modified 06/16/23 18:26 PM


Resolution


Question

Le GlobalProtect client utilisant Two Factor RADIUS Authentication (2FA) n’atteint pas la règle de sécurité avec la cartographie utilisateur/groupe configurée.

 

Cause

Palo Alto Networks firewall utilisateur / groupe-mapping format comprend un DOMAIN \ USERNAME . Si un GlobalProtect client authentifié à RADIUS l’aide du profil serveur sans le champ de domaine configuré DOMAIN la pièce pourrait manquer. Le firewall n’a pas la connaissance de l’utilisateur approprié à la cartographie de groupe.

77777. png


Instantané du profil RADIUS d’authentification

 

Résolution

Testez RADIUS le profil serveur sans le champ de domaine configuré en utilisant la commande suivante CLI :

> montrer global-protéger-passerelle courant-utilisateur

 

GlobalProtect Passerelle: GATEWAY2 (1 utilisateurs)

Nom du tunnel : GATEWAY2-N

        Nom d’utilisateur de domaine : \user1 <===== MISSING DOMAIN NAME     

      Ordinateur : PALO- 34E24R21H0

Client:

Mobile ID :

Privé IP : 0.0.0.0

Public IP : 10.129.31.105

        ESP: aucun

        SSL: aucun

Heure de connexion : Sep.03 16:06:31

Logout/Expiration : Oct.03 16:06:31

        TTL: 2592000

TTLInactivité : 10800

 

 

> montrer utilisateur ip-utilisateur-cartographie tous les

 

 

IPVsys From User IdleTimeout(s) MaxTimeout(s)

--------------- ------ ------- -------------------------------- -------------- -------------

192.168.112.2 vsys1 GP utilisateur1 2591997 2591997 <===== MISSING DOMAIN NAME

Total : 1 utilisateurs

 

2014-09-03 16:06:28.761 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth'ed

2014-09-03 16:06:28.762 + 0800 demande reçue pour déverrouiller vsys1/LDAP_AUTH_PROF/sglab \ User1

2014-09-03 16:06:28.763 + 0800 utilisateur'sglab\user1 'authentifié.De: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION

2014-09-03 16:06:28.763 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False

2014-09-03 16:06:31.476 + 0800 Debug: pan_authd_service_req (pan_authd. c:3316): authd: essayer d'authentifier à distance utilisateur: User1

2014-09-03 16:06:31.476 +0800 debug: pan_authd_service_auth_req(pan_authd.c:1158): AUTH Demande <'vsys1','RAIDIUS1','user1'>

2014-09-03 16:06:31.480 + 0800 authentification réussie pour l'utilisateur<vsys1,RAIDIUS1,user1></vsys1,RAIDIUS1,user1>

2014-09-03 16:06:31.480 + 0800 authentification réussie pour l'utilisateur distant<user1(orig:user1)></user1(orig:user1)>

2014-09-03 16:06:31.480 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: User1 authresult auth'ed

2014-09-03 16:06:31.480 +0800 Demande reçue pour déverrouiller vsys1/RAIDIUS1/user1 <===== GP GATEWAY RADIUS AUTHENTICATION

2014-09-03 16:06:31.481 + 0800 utilisateur'user1 'authentifié.De: 10.129.31.105.

2014-09-03 16:06:31.481 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False

2014-09-03 16:06:31.483 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4444): localprofile Sync déclenché via sysd

2014-09-03 16:06:31.483 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4464): obtenir des informations locales pour vsys1/RAIDIUS1

 

Sans le nom de domaine, le nom d’utilisateur peut être utilisé sur la règle de sécurité, à condition qu’il soit utilisé sans DOMAIN la pièce. La cartographie de groupe ne fonctionnera pas pour l’utilisateur GlobalProtect authentifié à ce stade.

Instantané de la liste de Policy sécurité

 

Testez avec RADIUS le profil serveur avec le champ de domaine configuré :

     rayon {

        RADIUS {

serveur {

            RADIUS {

secret - AQ ==5en6G6MezRroT3XKqkdPOmY/BfQ=AdEd9ZFNsuxCvAJJtn2Y+ A ==;

port 1812;

adresse ip 10.129.31.105;

}

}

checkgroup non;

domaine sglab; <=====

 

  GlobalProtect Passerelle: GATEWAY2 (1 utilisateurs)

Nom du tunnel : GATEWAY2-N

  Nom d’utilisateur de domaine : sglab\user1 <===== CORRECT FORMAT DOMAIN /USERNAME

      Ordinateur : PALO- 34E24R21H0

Client : Microsoft Windows Server 2003, Enterprise Edition Service Pack

Mobile ID :

Privé IP : 192.168.112.2

Public IP : 10.129.31.105

        ESP: exister

        SSL: aucun

Heure de connexion : Sep.03 15:53:06

Logout/Expiration : Oct.03 15:53:06

        TTL: 2591410

TTLInactivité : 10210

 

 

> montrer utilisateur ip-utilisateur-cartographie tous les

 

 

IPVsys From User IdleTimeout(s) MaxTimeout(s)

--------------- ------ ------- -------------------------------- -------------- -------------

192.168.112.2 vsys1 GP sglab\user1 2591399 2591399 <===== CORRECT FORMAT DOMAIN /USERNAME

Total : 1 utilisateurs

 

 

> queue suivre oui mp-log authd.log

2014-09-03 15:53:03.173 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth'ed

2014-09-03 15:53:03.173 + 0800 demande reçue pour déverrouiller vsys1/LDAP_AUTH_PROF/sglab \ User1

2014-09-03 15:53:03.174 + 0800 utilisateur'sglab\user1 'authentifié.De: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION

2014-09-03 15:53:03.174 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False

2014-09-03 15:53:06.357 + 0800 Debug: pan_authd_service_req (pan_authd. c:3316): authd: essayer d'authentifier à distance utilisateur: User1

2014-09-03 15:53:06.357 +0800 debug: pan_authd_service_auth_req(pan_authd.c:1158): AUTH Demande <'vsys1','RAIDIUS1','user1'>

2014-09-03 15:53:06.361 + 0800 authentification réussie pour l'utilisateur<vsys1,RAIDIUS1,sglab\user1></vsys1,RAIDIUS1,sglab\user1>

2014-09-03 15:53:06.361 + 0800 authentification réussie pour l'utilisateur distant<sglab\user1(orig:user1)></sglab\user1(orig:user1)>

2014-09-03 15:53:06.361 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth'ed

2014-09-03 15:53:06.361 +0800 Demande reçue pour débloquer vsys1/RAIDIUS1/sglab\user1 <===== GP GATEWAY RADIUS AUTHENTICATION

2014-09-03 15:53:06.362 + 0800 utilisateur'sglab\user1 'authentifié.De: 10.129.31.105.

2014-09-03 15:53:06.362 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False

2014-09-03 15:53:06.364 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4444): localprofile Sync déclenché via sysd

2014-09-03 15:53:06.364 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4464): obtenir des informations locales pour vsys1/RAIDIUS1

 

Note: Étant donné que les réseaux De Palo Alto firewall envoie l’authentification de nom d’utilisateur RADIUS au serveur dans le format de \ , le serveur doit être DOMAIN configuré pour comprendre la réception de ce USERNAME RADIUS format, sinon l’échec d’authentification se produira.

 

Avec le nom de domaine, l'identifiant peut être utilisé sur la règle de sécurité. L'Utilisateur et le mappage de groupe doivent maintenant fonctionner correctement, comme indiqué ci-dessous:

7777777. png

 

Il en va de même pour LDAP le profil serveur; le champ de domaine doit également être configuré afin que les réseaux de Palo Alto firewall aient le format correct de \ pour les utilisateurs DOMAIN USERNAME GlobalProtect authentifiés :

77777777. png

 

propriétaire : jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpJCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language