Wie mehrere Pan-OS RADIUS-Server-Profile (Server-Liste) für die Authentifizierung verwendet werden
Resolution
Übersicht
Dieses Dokument skizziert, wie die RADIUS-Server, die in einem RADIUS-Profil definiert sind, bei Authentifizierungs versuchen verwendet werden.
Details
Das Netzwerk Palo Alto Networks versucht eine Socket-Anfrage durch RADIUS auth Anfrage Paket an jeden Server in der Liste. Die Reihenfolge der Server für die Authentifizierungs Versuche basiert auf der konfigurierten Reihenfolge.
Zum Beispiel
Drei RADIUS-Server-Profile werden bei Device > Server-Profilen > RADIUS konfiguriert:
- Server 1-10.46.48.95
- Server 2-10.46.48.96
- Server 3- 10.46.48.97
Die Profile für die RADIUS-Server in der Konfiguration sind wie folgt:
setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-1 Secret-AQ = = TA0rlR/6vw + aeeidxa/dvuwdjtu = sh7o9V7gbphma3iMCxtP/Q = =
setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-1 Port 1812
setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-1 IP-Adresse 10.46.48.95
setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-2 Secret-AQ = = TA0rlR/6vw + aeeidxa/dvuwdjtu = sh7o9V7gbphma3iMCxtP/Q = =
setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-2 Port 1812
setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-2 IP-Adresse 10.46.48.96
setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-3 Secret-AQ = = TA0rlR/6vw + aeeidxa/dvuwdjtu = sh7o9V7gbphma3iMCxtP/Q = =
setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-3 Port 1812
setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-3 IP-Adresse 10.46.48.97
setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Check Gruppe Nr
setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Timeout 3
setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Wiederholungen 3
Das Netzwerk Palo Alto Networks wird in 3 Sekunden Abständen drei Versuche zu jedem Server in Folge machen. Das Intervall basiert auf dem konfigurierten Timeout-Wert (Standard 3 Sekunden).
- Übertragen Sie 3 radius auth Anfrage Pakete an Server-1
- Übertragen Sie 3 radius auth Anfrage Pakete an Server-2
- Übertragen Sie 3 radius auth Anfrage Pakete an Server-3
Beispielszenario mit Paket Erfassung:
Server-3 ist der einzige Server, der auf RADIUS-Authentifizierungs Anfragen reagiert. In diesem Szenario ist das Timeout-Intervall für die Beispielausgabe unten 1 Sekunde. Das folgende Paket-Capture-Beispiel zeigt die drei Versuche, die auf Server-1 und Server-2 gemacht wurden. Ein erfolgreicher Versuch wurde auf Server-3 gemacht:
02:44:26.870888 IP 10.46.32.5.55990 > 10.46.48.95. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66
02:44:27.871910 IP 10.46.32.5.55990 > 10.46.48.95. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66
02:44:28.872957 IP 10.46.32.5.55990 > 10.46.48.95. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66
02:44:29.874032 IP 10.46.32.5.55990 > 10.46.48.96. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66
02:44:30.875082 IP 10.46.32.5.55990 > 10.46.48.96. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66
02:44:31.876130 IP 10.46.32.5.55990 > 10.46.48.96. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66
02:44:32.877199 IP 10.46.32.5.55990 > 10.46.48.97. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66
02:44:32.878431 IP 10.46.48.97. Radius > 10.46.32.5.55990: RADIUS, Zugang akzeptieren (2), ID: 0x23 Länge: 37
Ein weiteres Beispielszenario:
Server-2 ist der einzige Server, der auf RADIUS-Berechtigungs Anfragen reagiert.
In diesem Szenario überträgt das Netzwerk Palo Alto Networks drei auth-Anfragen an Server-1, im Timeout-Intervall, dann an Server-2. Reagiert Server-2, werden keine weiteren Versuche unternommen.
Besitzer: Jye