GlobalProtect 使用 RADIUS 两个因子身份验证 (2FA) 的客户未达到安全规则

GlobalProtect 使用 RADIUS 两个因子身份验证 (2FA) 的客户未达到安全规则

44707
Created On 09/26/18 13:48 PM - Last Modified 06/16/23 18:26 PM


Resolution


问题

GlobalProtect使用 RADIUS 两个因子身份验证 (2FA) 的客户端不会在配置用户/组映射时达到安全规则。

 

原因

帕洛阿尔托网络 firewall 用户/组映射格式理解 DOMAIN 一个 USERNAME \。 如果 GlobalProtect 客户使用 RADIUS 未配置域字段的服务器配置文件进行身份验证, DOMAIN 则该部分可能会丢失。 没有 firewall 适当的用户对组映射的知识。

77777.png


RADIUS身份验证配置文件的快照

 

分辨率

RADIUS使用以下命令对未配置域的服务器配置文件进行测试 CLI :

> 显示全球保护通道的当前用户

 

GlobalProtect 网关:网关2(1个用户)

隧道名称: 网关2-N

        域名 : +用户1 <===== MISSING DOMAIN NAME     

      计算机 : PALO- 34E24R21H0

客户:

手机 ID :

私 IP 有 : 0.0.0.0

公众 IP : 10.129.31.105

        ESP:无

        SSL:无

登录时间 : 九月 03 16:06:31

注销/到期时间: 十月 03 16:06:31

        TTL: 2592000

不活动 TTL : 10800

 

 

> 显示用户 ip 用户映射所有

 

 

IP来自用户怠速超时(s)最大超时(s)的维西斯

--------------- ------ ------- -------------------------------- -------------- -------------

192.168.112.2 vsys1 GP 用户1 2591997 2591997 <===== MISSING DOMAIN NAME

总计: 1 用户

 

2014-09-03 16:06:28.761 +0800 调试: pan_authd_process_authresult (pan_authd: 1353): pan_authd_process_authresult: sglab\user1 authresult 认证

收到 2014-09-03 16:06:28.762 +0800 请求以解锁 vsys1/LDAP_AUTH_PROF/sglab\user1

2014-09-03 16:06:28.763 +0800 用户 ' sglab\user1 ' 认证。起于: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION

2014-09-03 16:06:28.763 +0800 点试:pan_authd_generate_system_log(pan_authd.c:866): CC 启用=错误

2014-09-03 16:06:31.476 +0800 调试: pan_authd_service_req (pan_authd: 3316): authd: 尝试远程身份验证用户: user1

2014-09-03 16:06:31.476 +0800 试用: pan_authd_service_auth_req(pan_authd.c:1158): AUTH 请求 <'vsys1','RAIDIUS1','user1'>

2014-09-03 16:06:31.480 +0800 认证成功用户<vsys1,RAIDIUS1,user1></vsys1,RAIDIUS1,user1>

2014-09-03 16:06:31.480 +0800 验证成功远程用户<user1(orig:user1)></user1(orig:user1)>

2014-09-03 16:06:31.480 +0800 调试: pan_authd_process_authresult (pan_authd: 1353): pan_authd_process_authresult: user1 authresult 认证

2014-09-03 16:06:31.480 +0800 收到解锁 vsys1/RAIDIUS1/用户1 的请求 <===== GP GATEWAY RADIUS AUTHENTICATION

2014-09-03 16:06:31.481 +0800 用户 ' user1 ' 认证。起于: 10.129.31.105.

2014-09-03 16:06:31.481 +0800 点试:pan_authd_generate_system_log(pan_authd.c:866): CC 启用=错误

2014-09-03 16:06:31.483 +0800 调试: authd_sysd_localprofile_callback (pan_authd: 4444): 通过 sysd 触发 localprofile 同步

2014-09-03 16:06:31.483 +0800 调试: authd_sysd_localprofile_callback (pan_authd: 4464): 获取 vsys1/RAIDIUS1 的本地信息

 

如果没有域名,用户名可以在安全规则中使用,前提是该域名在没有 DOMAIN 该部分的情况下使用。 此时,组映射将无法为 GlobalProtect 经过验证的用户工作。

安全列表的快照 Policy

 

RADIUS已配置域字段的服务器配置文件测试:

     半径{

        RADIUS {

服务器{

            RADIUS {

秘密 - AQ =5en6G6梅兹罗特3XkdPomy/BfQ=阿德9ZFNSuxCvAJJtn2年 A ==:

端口 1812;

ip 地址 10.129.31.105;

}

}

检查组号:

域板: <=====

 

  GlobalProtect 网关:网关2(1个用户)

隧道名称: 网关2-N

  域名:斯格拉布-用户 <===== CORRECT FORMAT DOMAIN 1/USERNAME

      计算机 : PALO- 34E24R21H0

客户端 : 微软视窗服务器 2003, 企业版服务包

手机 ID :

私 IP 有: 192.168.112.2

公众 IP : 10.129.31.105

        ESP:存在

        SSL:无

登录时间 : 九月 03 15:53:06

注销/到期时间: 十月 03 15:53:06

        TTL: 2591410

不活动 TTL : 10210

 

 

> 显示用户 ip 用户映射所有

 

 

IP来自用户怠速超时(s)最大超时(s)的维西斯

--------------- ------ ------- -------------------------------- -------------- -------------

192.168.112.2 vsys1 GP 板+用户1 2591399 2591399/ <===== CORRECT FORMAT DOMAIN USERNAME

总计: 1 用户

 

 

> 尾巴遵循是mp-日志身份验证.log

2014-09-03 15:53:03.173 +0800 调试: pan_authd_process_authresult (pan_authd: 1353): pan_authd_process_authresult: sglab\user1 authresult 认证

收到 2014-09-03 15:53:03.173 +0800 请求以解锁 vsys1/LDAP_AUTH_PROF/sglab\user1

2014-09-03 15:53:03.174 +0800 用户 ' sglab\user1 ' 认证。起于: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION

2014-09-03 15:53:03.174 +0800 点试:pan_authd_generate_system_log(pan_authd.c:866): CC 启用=错误

2014-09-03 15:53:06.357 +0800 调试: pan_authd_service_req (pan_authd: 3316): authd: 尝试远程身份验证用户: user1

2014-09-03 15:53:06.357 +0800 解试: pan_authd_service_auth_req(pan_authd.c:1158): AUTH 请求 <'vsys1','RAIDIUS1','user1'>

2014-09-03 15:53:06.361 +0800 认证成功用户<vsys1,RAIDIUS1,sglab\user1></vsys1,RAIDIUS1,sglab\user1>

2014-09-03 15:53:06.361 +0800 验证成功远程用户<sglab\user1(orig:user1)></sglab\user1(orig:user1)>

2014-09-03 15:53:06.361 +0800 调试: pan_authd_process_authresult (pan_authd: 1353): pan_authd_process_authresult: sglab\user1 authresult 认证

2014-09-03 15:53:06.361 +0800 收到解锁 vsys1/RAIDIUS1/sglab+用户 1 的请求 <===== GP GATEWAY RADIUS AUTHENTICATION

2014-09-03 15:53:06.362 +0800 用户 ' sglab\user1 ' 认证。起于: 10.129.31.105.

2014-09-03 15:53:06.362 +0800 解试: pan_authd_generate_system_log(pan_authd.c:866): CC 启用=错误

2014-09-03 15:53:06.364 +0800 调试: authd_sysd_localprofile_callback (pan_authd: 4444): 通过 sysd 触发 localprofile 同步

2014-09-03 15:53:06.364 +0800 调试: authd_sysd_localprofile_callback (pan_authd: 4464): 获取 vsys1/RAIDIUS1 的本地信息

 

注意: 由于 Palo Alto 网络 firewall 正在以 \格式向服务器发送用户名身份验证 RADIUS DOMAIN USERNAME , RADIUS 则必须配置服务器以了解接收此格式的情况,否则将发生身份验证失败。

 

使用域名可以在安全规则上使用用户名。 用户和组映射现在应该正常工作, 如下所示:

7777777.png

 

这同样适用于 LDAP 服务器配置文件;域域字段还需要配置,以便帕洛阿尔托网络 firewall DOMAIN 具有正确的格式 - USERNAME 为 GlobalProtect 经过验证的用户:

77777777.png

 

所有者: jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpJCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language