Cómo se utilizan varios perfiles de servidor de RADIUS de pan-os (lista de servidores) para la autenticación

Resumen

Este documento describe cómo se utilizan los servidores RADIUS definidos en un perfil RADIUS durante los intentos de autenticación.

Detalles

El dispositivo Palo Alto Networks intenta una solicitud de socket a través del paquete de solicitud RADIUS auth a cada servidor de la lista. El orden de los servidores para los intentos de autenticación se basa en el orden configurado.

Por ejemplo

Tres perfiles de servidor RADIUS están configurados en el dispositivo > Server perfiles > RADIUS:

• Servidor 1-10.46.48.95
• Servidor 2-10.46.48.96
• Servidor 3- 10.46.48.97

Los perfiles de los servidores RADIUS de la configuración son los siguientes:

Set vsys vsys2 Server-perfil RADIUS RADIUS-auth-1 Server Srvr-1 Secret-AQ = = TA0rlR/6vW + aEEidxA/DVuwdJtU = sh7o9V7gbphma3iMCxtP/Q = =

Set vsys vsys2 Server-Profile RADIUS RADIUS-auth-1 Server Srvr-1 Port 1812

Set vsys vsys2 Server-perfil RADIUS RADIUS-auth-1 Server Srvr-1 IP-address 10.46.48.95

Set vsys vsys2 Server-perfil RADIUS RADIUS-auth-1 Server Srvr-2 Secret-AQ = = TA0rlR/6vW + aEEidxA/DVuwdJtU = sh7o9V7gbphma3iMCxtP/Q = =

Set vsys vsys2 Server-perfil RADIUS RADIUS-auth-1 Server Srvr-2 Port 1812

Set vsys vsys2 Server-perfil RADIUS RADIUS-auth-1 Server Srvr-2 IP-address 10.46.48.96

Set vsys vsys2 Server-perfil RADIUS RADIUS-auth-1 Server Srvr-3 Secret-AQ = = TA0rlR/6vW + aEEidxA/DVuwdJtU = sh7o9V7gbphma3iMCxtP/Q = =

Set vsys vsys2 Server-perfil RADIUS RADIUS-auth-1 Server Srvr-3 Port 1812

Set vsys vsys2 Server-perfil RADIUS RADIUS-auth-1 Server Srvr-3 IP-address 10.46.48.97

Set vsys vsys2 Server-Profile RADIUS RADIUS-auth-1 CheckGroup no

Set vsys vsys2 Server-perfil RADIUS RADIUS-auth-1 timeout 3

Set vsys vsys2 Server-perfil RADIUS RADIUS-auth-1 reintentos 3

El dispositivo Palo Alto Networks hará tres intentos de cada servidor en sucesión a intervalos de 3 segundos. El intervalo se basa en el valor de tiempo de espera configurado (por defecto, 3 segundos).

• Transmitir paquetes de solicitud de autenticación de 3 RADIUS a Server-1
• Transmitir paquetes de solicitud de autenticación de 3 RADIUS a Server-2
• Transmitir paquetes de solicitud de autenticación de 3 RADIUS a Server-3

Ejemplo de escenario con captura de paquetes:

Server-3 es el único servidor que responde a las solicitudes de autenticación RADIUS. En este escenario, el intervalo de tiempo de espera para la salida de ejemplo siguiente es 1 segundo. El siguiente ejemplo de captura de paquetes muestra los tres intentos realizados en Server-1 y Server-2. Una tentativa acertada fue hecha al Server-3:

02:44:26.870888 IP 10.46.32.5.55990 > 10.46.48.95. RADIUS: RADIUS, solicitud de acceso (1), ID: 0x23 longitud: 66

02:44:27.871910 IP 10.46.32.5.55990 > 10.46.48.95. RADIUS: RADIUS, solicitud de acceso (1), ID: 0x23 longitud: 66

02:44:28.872957 IP 10.46.32.5.55990 > 10.46.48.95. RADIUS: RADIUS, solicitud de acceso (1), ID: 0x23 longitud: 66

02:44:29.874032 IP 10.46.32.5.55990 > 10.46.48.96. RADIUS: RADIUS, solicitud de acceso (1), ID: 0x23 longitud: 66

02:44:30.875082 IP 10.46.32.5.55990 > 10.46.48.96. RADIUS: RADIUS, solicitud de acceso (1), ID: 0x23 longitud: 66

02:44:31.876130 IP 10.46.32.5.55990 > 10.46.48.96. RADIUS: RADIUS, solicitud de acceso (1), ID: 0x23 longitud: 66

02:44:32.877199 IP 10.46.32.5.55990 > 10.46.48.97. RADIUS: RADIUS, solicitud de acceso (1), ID: 0x23 longitud: 66

02:44:32.878431 IP 10.46.48.97. RADIUS > 10.46.32.5.55990: RADIUS, Access Accept (2), ID: 0x23 longitud: 37

Otro escenario de ejemplo:

Server-2 es el único servidor que responde a las solicitudes de autorización RADIUS.

En este escenario, el dispositivo Palo Alto Networks transmite tres solicitudes auth al servidor-1, en el intervalo de tiempo de espera, luego, al servidor-2. Si Server-2 responde, no se realizan más intentos.

Propietario: Jye