Die Benutzerauthentifizierung scheitert mit dem sekundären Kerberos-Server in einem Kerberos-Server-Profil

Übersicht

Mehrere Kerberos-Server können in einem Kerberos-Server-Profil für die Benutzerauthentifizierung konfiguriert werden. Ein sekundärer Kerberos-Server kann zum Beispiel für Redundanz im Falle eines primären Server-Outage angegeben werden.

Problem

Die Palo Alto Networks Firewall greift nur auf den ersten Kerberos Server zu. Die Authentifizierung scheitert mit dem sekundären Kerberos-Server während eines Ausfall des ersten Servers.

Symptom

Die Authentifizierung auf dem sekundären Kerberos-Server scheitert mit der "Timeout"-Antwort des Servers.

Beispiel der authd. log-Ausgabe:

Nov 21 16:42:30 Error: pan_auth_send_rcv_msg (pan_auth_msg. c:90): Timeout auf die Antwort von authd (0) (keine solche Datei oder Verzeichnis)

Nov 21 16:42:30 pan_auth_send_rcv_msg (pan_auth_msg. c:119): Debug: erhielt 0 Bytes von authd

Nov 21 16:42:30 Error: pan_auth_authenticate_user_str (pan_auth_msg. c:569): Es ist nicht gelungen, den Benutzer zu authentifizieren user001

Ursache

Es dauert 4 Sekunden, bis die Firewall-Authentifizierungsfunktion den sekundären Kerberos-Server Abfragen. Der Standard-Timeout des L3-Dienstes beträgt 3 Sekunden, was kürzer ist als die Zeit, die für die Abfrage des sekundär Servers benötigt wird. So gibt der L3-Dienst auf, bevor er eine Antwort vom sekundären Kerberos-Server erhält.

Lösung

Ändern Sie L3-Service Timeout-Wert mit den Befehlen unten.

> konfigurieren

# Set DeviceConfig Einstellung L3-Service Timeout<value></value>

# commit

Die Voreinstellung für Testen Sie die Authentifizierung mit einem Wert von 5 und passen Sie sich bei Bedarf an.

Besitzer: tshimizu