如何解决 LDAP 身份验证疑难解答

概述

本文档介绍如何解决以下 LDAP 身份验证问题:

LDAP 身份验证配置为设备管理、固定门户或 GlobalProtect;但是, 身份验证请求总是失败。

初步假设:

• LDAP 服务器是一个 Microsoft 活动目录服务器。
• 在身份验证配置文件中不使用允许列表。(允许列表使用可能导致其他类型的问题, 这在本文档的范围之外)

步骤

身份验证过程由authd过程在管理平面中处理。所有调试日志都将位于 mp 日志中 authd.log

1。   检查 LDAP 服务器配置文件:

# 显示共享服务器配置文件 ldap

ldap

  ad2008 {

    服务器

      myadserver {

        389端口;

        地址 10.0.0.10;

      }

    }

    ldap 类型活动目录;

    基 dc = panw, dc = dom;

    绑定 dn admin@panw.dom admin@panw. dom;

    timelimit 30;

    绑定-timelimit 30;

    绑定密码 AQ==LEkLjmi5LnnONEwl89h/wpfRI0Y=AgBprzhy+CcbuOsMVp+mJg==;

    ssl no;

  }

}

1.1 TCP 端口389用于常规 LDAP。使用端口389时, 一定要禁用 ssl (ssl no;).

如果启用了 SSL, 请确保 LDAP 服务器支持 LDAPS 并检查以确保将 TCP 配置为服务器配置文件 (LDAPS 默认端口) 中的端口636。

# 显示共享服务器配置文件 ldap

l磷酸二铵

  ad2008 {

    服务器

      myadserver {

        636端口;

        地址 10.0.0.10;

      }

    }

    ldap 类型活动目录;

    基 dc = panw, dc = dom;

    绑定 dn admin@panw.dom admin@panw. dom;

    timelimit 30;

    绑定-timelimit 30;

    绑定密码 AQ==LEkLjmi5LnnONEwl89h/wpfRI0Y=AgBprzhy+CcbuOsMVp+mJg==;

    ssl 是;

  }

}

1.2 在 LDAP 服务器配置文件 (设备 > ldap-ldap 服务器配置文件) 中选择基本下拉列表时, 应自动从帕洛阿尔托网络设备获取基本 DN。强烈建议将此值用于 LDAP 服务器基础。

1.3 在 LDAP 服务器配置文件中, 可以手动配置域名。建议保留此字段为空, 因为 PAN OS 将自动确定域。当多个 AD 域需要统一到一个特定的情况下时, 此选项用于非常特殊的情况。

1.4 检查 ldap 连接的一个好方法是在配置组映射时使用 ldap 树浏览器 (在服务器配置文件中选择相应的 LDAP 服务器)。

如果能够浏览 ldap, 则 ldap 服务器配置文件配置正确。

2。  检查 authd.log

当跟随 authd.log 跟踪是 mp 日志 authd.log 时, 通常会出现以下条目:

验证成功

1月08日 14:00:46 pan_authd_service_req (pan_authd: 2604): authd: 尝试远程身份验证用户: user1

1月08日 14:00:46 pan_authd_service_auth_req (pan_authd: 1115): 认证请求<'vsys1','adauth','user1'></'vsys1','adauth','user1'>

1月08日 14:00:46 pan_authd_handle_nonadmin_auths (pan_authd: 2245): vsys, authprof 不<vsys1,adauth>存在于 db 中, 尝试 "共享" vsys</vsys1,adauth>

1月08日 14:00:46 pan_authd_common_authenticate (pan_authd: 1511): 使用服务/等/pam/pan_ldap_shared_adauth_0 认证用户, 用户名 user1

1月08日 14:00:46 pan_authd_authenticate_service (pan_authd: 663): 认证成功 (0)

身份验证失败

1月09日 23:21:15 pan_authd_service_req (pan_authd: 2604): authd: 尝试远程身份验证用户: user1

1月09日 23:21:15 pan_authd_service_auth_req (pan_authd: 1115): 认证请求<'vsys1','adauth','user1'></'vsys1','adauth','user1'>

1月09日 23:21:15 pan_authd_handle_nonadmin_auths (pan_authd: 2245): vsys, authprof 不<vsys1,adauth>存在于 db 中, 尝试 "共享" vsys</vsys1,adauth>

1月09日 23:21:15 pan_authd_common_authenticate (pan_authd: 1511): 使用服务/等/pam/pan_ldap_shared_adauth_0 认证用户, 用户名 user1

1月09日 23:21:21 pan_authd_authenticate_service (pan_authd: 663): 认证失败 (6)

1月09日 23:21:21 pan_authd_common_authenticate (pan_authd: 1531): 使用服务/等的身份验证用户/pam/pan_ldap_shared_adauth_0, usename user1 失败-尝试其他主机

1月09日 23:21:21 pan_authd_common_authenticate (pan_authd: 1506): 由于缺少授权配置文件, 跳过 LDAP 服务器: pan_ldap_shared_adauth_1

1月09日 23:21:21 pan_authd_common_authenticate (pan_authd: 1506): 由于缺少授权配置文件, 跳过 LDAP 服务器: pan_ldap_shared_adauth_2

1月09日 23:21:21 pan_authd_common_authenticate (pan_authd: 1506): 由于缺少授权配置文件, 跳过 LDAP 服务器: pan_ldap_shared_adauth_3

1月09日 23:21:21用户身份验证失败<shared,adauth,user1></shared,adauth,user1>

1月09日 23:21:21 pan_authd_process_authresult (pan_authd: 1258): pan_authd_process_authresult: user1 authresult 不认证

1月09日 23:21:21 pan_authd_process_authresult (pan_authd: 1282): 报警生成设置为: False。

1月09日 23:21:21用户 "user1" 身份验证失败。  原因: 用户名/密码无效: 192.168.0.17

这些失败尝试的日志是非常通用的, 可能会混淆。

对于各种原因, 可以看到相同的日志:

• 无法访问 LDAP 服务器 (检查服务路由)
• LDAP 服务器中不存在用户
• 用户名和/或密码错误
• 在服务器配置文件和/或密码中绑定 DN 格式错误

3。  检查服务路由

如果已为 UID 代理服务配置了服务路由, 则在 ldap 身份验证可能失败时, 组映射测试将起作用, 因为帕洛阿尔托网络设备仍在使用管理接口作为 LDAP 身份验证请求的源。

实际上, 组映射由 useridd 进程管理, 并将使用其专用的服务路由 (UID 代理)。如前所述, 身份验证服务是通过 authd 过程实现的, 无法为该服务配置专用路由。

如果管理接口不用于 LDAP 身份验证请求, 则必须配置具有目标中的 ldap 服务器 IP 地址的单个服务路由, 如下所示:

所有者： nbilly