Übersicht
Mehrere Kerberos-Server können in einem Kerberos-Server-Profil für die Benutzerauthentifizierung konfiguriert werden. Ein sekundärer Kerberos-Server kann zum Beispiel für Redundanz im Falle eines primären Server-Outage angegeben werden.
Problem
Die Palo Alto Networks Firewall greift nur auf den ersten Kerberos Server zu. Die Authentifizierung scheitert mit dem sekundären Kerberos-Server während eines Ausfall des ersten Servers.
Symptom
Die Authentifizierung auf dem sekundären Kerberos-Server scheitert mit der "Timeout"-Antwort des Servers.
Beispiel der authd. log-Ausgabe:
Nov 21 16:42:30 Error: pan_auth_send_rcv_msg (pan_auth_msg. c:90): Timeout auf die Antwort von authd (0) (keine solche Datei oder Verzeichnis)
Nov 21 16:42:30 pan_auth_send_rcv_msg (pan_auth_msg. c:119): Debug: erhielt 0 Bytes von authd
Nov 21 16:42:30 Error: pan_auth_authenticate_user_str (pan_auth_msg. c:569): Es ist nicht gelungen, den Benutzer zu authentifizieren user001
Ursache
Es dauert 4 Sekunden, bis die Firewall-Authentifizierungsfunktion den sekundären Kerberos-Server Abfragen. Der Standard-Timeout des L3-Dienstes beträgt 3 Sekunden, was kürzer ist als die Zeit, die für die Abfrage des sekundär Servers benötigt wird. So gibt der L3-Dienst auf, bevor er eine Antwort vom sekundären Kerberos-Server erhält.
Lösung
Ändern Sie L3-Service Timeout-Wert mit den Befehlen unten.
> konfigurieren
# Set DeviceConfig Einstellung L3-Service Timeout<value></value>
# commit
Die Voreinstellung für Testen Sie die Authentifizierung mit einem Wert von 5 und passen Sie sich bei Bedarf an.
Besitzer: tshimizu