GlobalProtect 2 RADIUS 要素認証 (2FA) を使用するクライアントがセキュリティ ルールに達していない
Resolution
問題
GlobalProtect RADIUS 2 要素認証 (2FA) を使用しているクライアントは、ユーザー/グループ マッピングが構成されたセキュリティ規則に当たりません。
原因
パロアルトネットワークス firewall のユーザー/グループマッピング形式は DOMAIN \を理解 USERNAME しています。 GlobalProtectドメインフィールドが設定されていないサーバプロファイルを使用してクライアントが認証された場合 RADIUS 、 DOMAIN その部分が欠落する可能性があります。 firewallグループマッピングに対する適切なユーザの知識がありません。
解像 度
次の RADIUS コマンドを使用して、ドメイン フィールドを構成せずにサーバー プロファイルをテスト CLI します。
> グローバル保護ゲートウェイの現在のユーザーを表示
GlobalProtect ゲートウェイ: ゲートウェイ2 (1 ユーザー)
トンネル名 : GATEWAY2-N
ドメイン ユーザー名 : \user1 <===== MISSING DOMAIN NAME
コンピュータ: PALO- 34E24R21H0
クライアント:
モバイル ID :
プライベート IP : 0.0.0.0
公開 IP : 10.129.31.105
ESP: なし
SSL: なし
ログイン時間: 9月03日 16:06:31
ログアウト/有効期限: 10.03 16:06:31
TTL: 2592000
非アクティブ TTL : 10800
> ip ユーザ マッピングがユーザーを表示すべて
IPユーザーアイドルタイムアウトからの Vsys 最大タイムアウト(s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.112.2 vsys1 GP ユーザー1 2591997 2591997 <===== MISSING DOMAIN NAME
合計: 1 ユーザー
2014-09-03 16:06: 28.761 + 0800 デバッグ: pan_authd_process_authresult (pan_authd c:1353): pan_authd_process_authresult: sglab\user1 authresult auth'ed
2014-09-03 16:06: 28.762 + 0800 要求は vsys1/LDAP_AUTH_PROF/sglab \ user1 のロックを解除するために受け取った
2014-09-03 16:06: 28.763 + 0800 ユーザー ' sglab\user1 ' が認証されました。から: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION
2014-09-03 16:06:28.763 +0800 デバッグ: pan_authd_generate_system_log (pan_authd.c:866): CC 有効 =False
2014-09-03 16:06: 31.476 + 0800 デバッグ: pan_authd_service_req (pan_authd c:3316): authd: リモート認証を試みるユーザー: user1
2014-09-03 16:06:31.476 +0800 デバッグ: pan_authd_service_auth_req (pan_authd.c:1158): AUTH 要求 <'vsys1','RAIDIUS1','user1'>
2014-09-03 16:06: 31.480 + 0800 認証がユーザーに対して成功しました<vsys1,RAIDIUS1,user1></vsys1,RAIDIUS1,user1>
2014-09-03 16:06: 31.480 + 0800 認証がリモートユーザーに対して成功しました<user1(orig:user1)></user1(orig:user1)>
2014-09-03 16:06: 31.480 + 0800 デバッグ: pan_authd_process_authresult (pan_authd c:1353): pan_authd_process_authresult: user1 authresult auth'ed
2014-09-03 16:06:31.480 +0800 vsys1/RAIDIUS1/user1のロックを解除するための要求を受け取りました <===== GP GATEWAY RADIUS AUTHENTICATION
2014-09-03 16:06: 31.481 + 0800 ユーザー ' user1 ' が認証されました。から: 10.129.31.105.
2014-09-03 16:06:31.481 +0800 デバッグ: pan_authd_generate_system_log (pan_authd.c:866): CC 有効 =False
2014-09-03 16:06: 31.483 + 0800 デバッグ: authd_sysd_localprofile_callback (pan_authd c:4444): localprofile を介してトリガされた同期
2014-09-03 16:06: 31.483 + 0800 デバッグ: authd_sysd_localprofile_callback (pan_authd c:4464): vsys1/RAIDIUS1 のためのローカル情報を取得します。
ドメイン名を指定しないと、ユーザ名は、その部分なしで使用されている場合に、セキュリティ規則で使用できます DOMAIN 。 GlobalProtectこの時点では、認証されたユーザーに対してグループ マッピングは機能しません。
ドメイン RADIUS フィールドを構成したサーバー プロファイルでテストします。
半径 {
RADIUS {
サーバー {
RADIUS {
シークレット - AQ ==5en6G6MezRroT3XKkkdPOmY/BfQ=AdEd9ZFNsuxCvAJTn2Y+ A == ;
ポート 1812;
ip アドレス 10.129.31.105;
}
}
チェックグループいいえ。
ドメインスグラボ; <=====
GlobalProtect ゲートウェイ: ゲートウェイ2 (1 ユーザー)
トンネル名 : GATEWAY2-N
ドメイン ユーザー名 : sglab\user1 <===== CORRECT FORMAT DOMAIN /USERNAME
コンピュータ: PALO- 34E24R21H0
クライアント : Windows Server 2003、エンタープライズ エディションのサービス パック
モバイル ID :
プライベート IP : 192.168.112.2
公開 IP : 10.129.31.105
ESP: 存在します
SSL: なし
ログイン時間: 9月03日 15:53:06
ログアウト/有効期限: 10.03 15:53:06
TTL: 2591410
非アクティブ TTL : 10210
> ip ユーザ マッピングがユーザーを表示すべて
IPユーザーアイドルタイムアウトからの Vsys 最大タイムアウト(s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.112.2 vsys1 GP sglab\user1 2591399 2591399 <===== CORRECT FORMAT DOMAIN /USERNAME
合計: 1 ユーザー
>テールは、はいmp-log認証に従います.log
2014-09-03 15:53: 03.173 + 0800 デバッグ: pan_authd_process_authresult (pan_authd c:1353): pan_authd_process_authresult: sglab\user1 authresult auth'ed
2014-09-03 15:53: 03.173 + 0800 要求は vsys1/LDAP_AUTH_PROF/sglab \ user1 のロックを解除するために受け取った
2014-09-03 15:53: 03.174 + 0800 ユーザー ' sglab\user1 ' が認証されました。から: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION
2014-09-03 15:53:03.174 +0800 デバッグ: pan_authd_generate_system_log (pan_authd.c:866): CC 有効 =False
2014-09-03 15:53: 06.357 + 0800 デバッグ: pan_authd_service_req (pan_authd c:3316): authd: リモート認証を試みるユーザー: user1
2014-09-03 15:53:06.357 +0800 デバッグ: pan_authd_service_auth_req (pan_authd.c:1158): AUTH 要求 <'vsys1','RAIDIUS1','user1'>
2014-09-03 15:53: 06.361 + 0800 認証がユーザーに対して成功しました<vsys1,RAIDIUS1,sglab\user1></vsys1,RAIDIUS1,sglab\user1>
2014-09-03 15:53: 06.361 + 0800 認証がリモートユーザーに対して成功しました<sglab\user1(orig:user1)></sglab\user1(orig:user1)>
2014-09-03 15:53: 06.361 + 0800 デバッグ: pan_authd_process_authresult (pan_authd c:1353): pan_authd_process_authresult: sglab\user1 authresult auth'ed
2014-09-03 15:53:06.361 +0800 vsys1/RAIDIUS1/sglab\user1のロックを解除するための要求を受け取りました <===== GP GATEWAY RADIUS AUTHENTICATION
2014-09-03 15:53: 06.362 + 0800 ユーザー ' sglab\user1 ' が認証されました。から: 10.129.31.105.
2014-09-03 15:53:06.362 +0800 デバッグ: pan_authd_generate_system_log (pan_authd.c:866): CC 有効 =False
2014-09-03 15:53: 06.364 + 0800 デバッグ: authd_sysd_localprofile_callback (pan_authd c:4444): localprofile を介してトリガされた同期
2014-09-03 15:53: 06.364 + 0800 デバッグ: authd_sysd_localprofile_callback (pan_authd c:4464): vsys1/RAIDIUS1 のためのローカル情報を取得します。
注: パロアルトネットワークス firewall は\形式でサーバにユーザ名認証 RADIUS を送信しているので DOMAIN USERNAME RADIUS 、サーバはこの形式を受信することを理解するように設定する必要があり、そうでなければ認証が失敗します。
ドメイン名を使用すると、セキュリティ規則でユーザー名を使うことができます。 次に示すように、ユーザーとグループのマッピングが正しく機能するようになりました。
同じことがサーバープロファイルにも当てはまります LDAP が、Palo Alto Networks が firewall DOMAIN USERNAME 認証されたユーザーの \ の正しい形式を持つには、ドメイン フィールドも設定する必要があります GlobalProtect 。
所有者: jlunario