GlobalProtect 使用 RADIUS 两个因子身份验证 (2FA) 的客户未达到安全规则
Resolution
问题
GlobalProtect使用 RADIUS 两个因子身份验证 (2FA) 的客户端不会在配置用户/组映射时达到安全规则。
原因
帕洛阿尔托网络 firewall 用户/组映射格式理解 DOMAIN 一个 USERNAME \。 如果 GlobalProtect 客户使用 RADIUS 未配置域字段的服务器配置文件进行身份验证, DOMAIN 则该部分可能会丢失。 没有 firewall 适当的用户对组映射的知识。
分辨率
RADIUS使用以下命令对未配置域的服务器配置文件进行测试 CLI :
> 显示全球保护通道的当前用户
GlobalProtect 网关:网关2(1个用户)
隧道名称: 网关2-N
域名 : +用户1 <===== MISSING DOMAIN NAME
计算机 : PALO- 34E24R21H0
客户:
手机 ID :
私 IP 有 : 0.0.0.0
公众 IP : 10.129.31.105
ESP:无
SSL:无
登录时间 : 九月 03 16:06:31
注销/到期时间: 十月 03 16:06:31
TTL: 2592000
不活动 TTL : 10800
> 显示用户 ip 用户映射所有
IP来自用户怠速超时(s)最大超时(s)的维西斯
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.112.2 vsys1 GP 用户1 2591997 2591997 <===== MISSING DOMAIN NAME
总计: 1 用户
2014-09-03 16:06:28.761 +0800 调试: pan_authd_process_authresult (pan_authd: 1353): pan_authd_process_authresult: sglab\user1 authresult 认证
收到 2014-09-03 16:06:28.762 +0800 请求以解锁 vsys1/LDAP_AUTH_PROF/sglab\user1
2014-09-03 16:06:28.763 +0800 用户 ' sglab\user1 ' 认证。起于: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION
2014-09-03 16:06:28.763 +0800 点试:pan_authd_generate_system_log(pan_authd.c:866): CC 启用=错误
2014-09-03 16:06:31.476 +0800 调试: pan_authd_service_req (pan_authd: 3316): authd: 尝试远程身份验证用户: user1
2014-09-03 16:06:31.476 +0800 试用: pan_authd_service_auth_req(pan_authd.c:1158): AUTH 请求 <'vsys1','RAIDIUS1','user1'>
2014-09-03 16:06:31.480 +0800 认证成功用户<vsys1,RAIDIUS1,user1></vsys1,RAIDIUS1,user1>
2014-09-03 16:06:31.480 +0800 验证成功远程用户<user1(orig:user1)></user1(orig:user1)>
2014-09-03 16:06:31.480 +0800 调试: pan_authd_process_authresult (pan_authd: 1353): pan_authd_process_authresult: user1 authresult 认证
2014-09-03 16:06:31.480 +0800 收到解锁 vsys1/RAIDIUS1/用户1 的请求 <===== GP GATEWAY RADIUS AUTHENTICATION
2014-09-03 16:06:31.481 +0800 用户 ' user1 ' 认证。起于: 10.129.31.105.
2014-09-03 16:06:31.481 +0800 点试:pan_authd_generate_system_log(pan_authd.c:866): CC 启用=错误
2014-09-03 16:06:31.483 +0800 调试: authd_sysd_localprofile_callback (pan_authd: 4444): 通过 sysd 触发 localprofile 同步
2014-09-03 16:06:31.483 +0800 调试: authd_sysd_localprofile_callback (pan_authd: 4464): 获取 vsys1/RAIDIUS1 的本地信息
如果没有域名,用户名可以在安全规则中使用,前提是该域名在没有 DOMAIN 该部分的情况下使用。 此时,组映射将无法为 GlobalProtect 经过验证的用户工作。
RADIUS已配置域字段的服务器配置文件测试:
半径{
RADIUS {
服务器{
RADIUS {
秘密 - AQ =5en6G6梅兹罗特3XkdPomy/BfQ=阿德9ZFNSuxCvAJJtn2年 A ==:
端口 1812;
ip 地址 10.129.31.105;
}
}
检查组号:
域板: <=====
GlobalProtect 网关:网关2(1个用户)
隧道名称: 网关2-N
域名:斯格拉布-用户 <===== CORRECT FORMAT DOMAIN 1/USERNAME
计算机 : PALO- 34E24R21H0
客户端 : 微软视窗服务器 2003, 企业版服务包
手机 ID :
私 IP 有: 192.168.112.2
公众 IP : 10.129.31.105
ESP:存在
SSL:无
登录时间 : 九月 03 15:53:06
注销/到期时间: 十月 03 15:53:06
TTL: 2591410
不活动 TTL : 10210
> 显示用户 ip 用户映射所有
IP来自用户怠速超时(s)最大超时(s)的维西斯
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.112.2 vsys1 GP 板+用户1 2591399 2591399/ <===== CORRECT FORMAT DOMAIN USERNAME
总计: 1 用户
> 尾巴遵循是mp-日志身份验证.log
2014-09-03 15:53:03.173 +0800 调试: pan_authd_process_authresult (pan_authd: 1353): pan_authd_process_authresult: sglab\user1 authresult 认证
收到 2014-09-03 15:53:03.173 +0800 请求以解锁 vsys1/LDAP_AUTH_PROF/sglab\user1
2014-09-03 15:53:03.174 +0800 用户 ' sglab\user1 ' 认证。起于: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION
2014-09-03 15:53:03.174 +0800 点试:pan_authd_generate_system_log(pan_authd.c:866): CC 启用=错误
2014-09-03 15:53:06.357 +0800 调试: pan_authd_service_req (pan_authd: 3316): authd: 尝试远程身份验证用户: user1
2014-09-03 15:53:06.357 +0800 解试: pan_authd_service_auth_req(pan_authd.c:1158): AUTH 请求 <'vsys1','RAIDIUS1','user1'>
2014-09-03 15:53:06.361 +0800 认证成功用户<vsys1,RAIDIUS1,sglab\user1></vsys1,RAIDIUS1,sglab\user1>
2014-09-03 15:53:06.361 +0800 验证成功远程用户<sglab\user1(orig:user1)></sglab\user1(orig:user1)>
2014-09-03 15:53:06.361 +0800 调试: pan_authd_process_authresult (pan_authd: 1353): pan_authd_process_authresult: sglab\user1 authresult 认证
2014-09-03 15:53:06.361 +0800 收到解锁 vsys1/RAIDIUS1/sglab+用户 1 的请求 <===== GP GATEWAY RADIUS AUTHENTICATION
2014-09-03 15:53:06.362 +0800 用户 ' sglab\user1 ' 认证。起于: 10.129.31.105.
2014-09-03 15:53:06.362 +0800 解试: pan_authd_generate_system_log(pan_authd.c:866): CC 启用=错误
2014-09-03 15:53:06.364 +0800 调试: authd_sysd_localprofile_callback (pan_authd: 4444): 通过 sysd 触发 localprofile 同步
2014-09-03 15:53:06.364 +0800 调试: authd_sysd_localprofile_callback (pan_authd: 4464): 获取 vsys1/RAIDIUS1 的本地信息
注意: 由于 Palo Alto 网络 firewall 正在以 \格式向服务器发送用户名身份验证 RADIUS DOMAIN USERNAME , RADIUS 则必须配置服务器以了解接收此格式的情况,否则将发生身份验证失败。
使用域名可以在安全规则上使用用户名。 用户和组映射现在应该正常工作, 如下所示:
这同样适用于 LDAP 服务器配置文件;域域字段还需要配置,以便帕洛阿尔托网络 firewall DOMAIN 具有正确的格式 - USERNAME 为 GlobalProtect 经过验证的用户:
所有者: jlunario