Comment plusieurs profils de serveur PAN-OS RADIUS (liste de serveurs) sont utilisés pour l'authentification
Resolution
Vue d’ensemble
Ce document décrit la façon dont les serveurs RADIUS définis dans un profil RADIUS sont utilisés lors des tentatives d'authentification.
Détails
Le dispositif de Palo Alto Networks tente une demande de socket par le biais de paquets demande radius auth à chaque serveur dans la liste. L'ordre des serveurs pour les tentatives d'authentification est basé sur l'ordre configuré.
Par exemple
Trois profils de serveur RADIUS sont configurés à l'appareil > profils du serveur > rayon:
- Serveur 1-10.46.48.95
- Server 2-10.46.48.96
- Server 3- 10.46.48.97
Les profils des serveurs RADIUS de la configuration sont les suivants:
Set VSys vsys2 Server-profil RADIUS radius-auth-1 Server Srvr-1 secret-AQ = = TA0rlR/6vW + aEEidxA/DVuwdJtU = sh7o9V7gbphma3iMCxtP/Q = =
Set VSys vsys2 Server-profil RADIUS radius-auth-1 Server Srvr-1 port 1812
Set VSys vsys2 Server-profil RADIUS radius-auth-1 Server Srvr-1 adresse IP 10.46.48.95
Set VSys vsys2 Server-profil RADIUS radius-auth-1 Server Srvr-2 secret-AQ = = TA0rlR/6vW + aEEidxA/DVuwdJtU = sh7o9V7gbphma3iMCxtP/Q = =
Set VSys vsys2 Server-profil RADIUS radius-auth-1 Server Srvr-2 port 1812
Set VSys vsys2 Server-profil RADIUS radius-auth-1 Server Srvr-2 IP-address 10.46.48.96
Set VSys vsys2 Server-profil RADIUS radius-auth-1 Server Srvr-3 secret-AQ = = TA0rlR/6vW + aEEidxA/DVuwdJtU = sh7o9V7gbphma3iMCxtP/Q = =
Set VSys vsys2 Server-profil RADIUS radius-auth-1 Server Srvr-3 port 1812
Set VSys vsys2 Server-profil RADIUS radius-auth-1 Server Srvr-3 IP-address 10.46.48.97
Set VSys vsys2 Server-profil RADIUS radius-auth-1 checkgroup no
Set VSys vsys2 Server-profil RADIUS radius-auth-1 Timeout 3
Set VSys vsys2 Server-profil RADIUS radius-auth-1 Retries 3
L'appareil de Palo Alto Networks fera trois tentatives pour chaque serveur successivement à intervalles de 3 secondes. L'intervalle est basé sur la valeur de délai d'attente configurée (par défaut 3 secondes).
- Transmettre 3 paquets de demande d'auth RADIUS au serveur-1
- Transmettre 3 paquets de demande d'auth RADIUS au serveur-2
- Transmettre 3 paquets de demande d'auth RADIUS au serveur-3
Exemple de scénario avec capture de paquets:
Server-3 est le seul serveur qui répond aux demandes d'authentification RADIUS. Dans ce scénario, l'intervalle de délai d'attente pour l'exemple de sortie ci-dessous est de 1 seconde. L'exemple de capture de paquets suivant montre les trois tentatives effectuées sur Server-1 et Server-2. Une tentative réussie a été faite à Server-3:
02:44:26.870888 IP 10.46.32.5.55990 > 10.46.48.95. RADIUS: RADIUS, demande d'accès (1), ID: 0x23 longueur: 66
02:44:27.871910 IP 10.46.32.5.55990 > 10.46.48.95. RADIUS: RADIUS, demande d'accès (1), ID: 0x23 longueur: 66
02:44:28.872957 IP 10.46.32.5.55990 > 10.46.48.95. RADIUS: RADIUS, demande d'accès (1), ID: 0x23 longueur: 66
02:44:29.874032 IP 10.46.32.5.55990 > 10.46.48.96. RADIUS: RADIUS, demande d'accès (1), ID: 0x23 longueur: 66
02:44:30.875082 IP 10.46.32.5.55990 > 10.46.48.96. RADIUS: RADIUS, demande d'accès (1), ID: 0x23 longueur: 66
02:44:31.876130 IP 10.46.32.5.55990 > 10.46.48.96. RADIUS: RADIUS, demande d'accès (1), ID: 0x23 longueur: 66
02:44:32.877199 IP 10.46.32.5.55990 > 10.46.48.97. RADIUS: RADIUS, demande d'accès (1), ID: 0x23 longueur: 66
02:44:32.878431 IP 10.46.48.97. RADIUS > 10.46.32.5.55990: RADIUS, Access Accept (2), ID: 0x23 longueur: 37
Un autre exemple de scénario:
Server-2 est le seul serveur qui répond aux demandes d'autorisation RADIUS.
Dans ce scénario, l'appareil de Palo Alto Networks transmet trois requêtes auth à Server-1, à l'intervalle de temporisation, puis à Server-2. Si le serveur-2 répond, aucune autre tentative n'est effectuée.
propriétaire: JYE