Wie mehrere Pan-OS RADIUS-Server-Profile (Server-Liste) für die Authentifizierung verwendet werden

Übersicht

Dieses Dokument skizziert, wie die RADIUS-Server, die in einem RADIUS-Profil definiert sind, bei Authentifizierungs versuchen verwendet werden.

Details

Das Netzwerk Palo Alto Networks versucht eine Socket-Anfrage durch RADIUS auth Anfrage Paket an jeden Server in der Liste. Die Reihenfolge der Server für die Authentifizierungs Versuche basiert auf der konfigurierten Reihenfolge.

Zum Beispiel

Drei RADIUS-Server-Profile werden bei Device > Server-Profilen > RADIUS konfiguriert:

• Server 1-10.46.48.95
• Server 2-10.46.48.96
• Server 3- 10.46.48.97

Die Profile für die RADIUS-Server in der Konfiguration sind wie folgt:

setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-1 Secret-AQ = = TA0rlR/6vw + aeeidxa/dvuwdjtu = sh7o9V7gbphma3iMCxtP/Q = =

setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-1 Port 1812

setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-1 IP-Adresse 10.46.48.95

setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-2 Secret-AQ = = TA0rlR/6vw + aeeidxa/dvuwdjtu = sh7o9V7gbphma3iMCxtP/Q = =

setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-2 Port 1812

setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-2 IP-Adresse 10.46.48.96

setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-3 Secret-AQ = = TA0rlR/6vw + aeeidxa/dvuwdjtu = sh7o9V7gbphma3iMCxtP/Q = =

setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-3 Port 1812

setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Server Srvr-3 IP-Adresse 10.46.48.97

setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Check Gruppe Nr

setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Timeout 3

setzen Sie Vsys vsys2 Server-Profil RADIUS radius-auth-1 Wiederholungen 3

Das Netzwerk Palo Alto Networks wird in 3 Sekunden Abständen drei Versuche zu jedem Server in Folge machen. Das Intervall basiert auf dem konfigurierten Timeout-Wert (Standard 3 Sekunden).

• Übertragen Sie 3 radius auth Anfrage Pakete an Server-1
• Übertragen Sie 3 radius auth Anfrage Pakete an Server-2
• Übertragen Sie 3 radius auth Anfrage Pakete an Server-3

Beispielszenario mit Paket Erfassung:

Server-3 ist der einzige Server, der auf RADIUS-Authentifizierungs Anfragen reagiert. In diesem Szenario ist das Timeout-Intervall für die Beispielausgabe unten 1 Sekunde. Das folgende Paket-Capture-Beispiel zeigt die drei Versuche, die auf Server-1 und Server-2 gemacht wurden. Ein erfolgreicher Versuch wurde auf Server-3 gemacht:

02:44:26.870888 IP 10.46.32.5.55990 > 10.46.48.95. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66

02:44:27.871910 IP 10.46.32.5.55990 > 10.46.48.95. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66

02:44:28.872957 IP 10.46.32.5.55990 > 10.46.48.95. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66

02:44:29.874032 IP 10.46.32.5.55990 > 10.46.48.96. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66

02:44:30.875082 IP 10.46.32.5.55990 > 10.46.48.96. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66

02:44:31.876130 IP 10.46.32.5.55990 > 10.46.48.96. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66

02:44:32.877199 IP 10.46.32.5.55990 > 10.46.48.97. Radius: RADIUS, Zugriffs Anfrage (1), ID: 0x23 Länge: 66

02:44:32.878431 IP 10.46.48.97. Radius > 10.46.32.5.55990: RADIUS, Zugang akzeptieren (2), ID: 0x23 Länge: 37

Ein weiteres Beispielszenario:

Server-2 ist der einzige Server, der auf RADIUS-Berechtigungs Anfragen reagiert.

In diesem Szenario überträgt das Netzwerk Palo Alto Networks drei auth-Anfragen an Server-1, im Timeout-Intervall, dann an Server-2. Reagiert Server-2, werden keine weiteren Versuche unternommen.

Besitzer: Jye