La autenticación de usuario falla con el servidor Kerberos secundario en un perfil de servidor Kerberos

Resumen

Se pueden configurar varios servidores Kerberos en un perfil de servidor Kerberos para la autenticación del usuario. Un servidor Kerberos secundario, por ejemplo, se puede especificar para redundancia en caso de interrupción del servidor primario.

Incidencia

El cortafuegos de Palo Alto Networks sólo tiene acceso al primer servidor Kerberos. La autenticación falla con el servidor Kerberos secundario durante una interrupción del primer servidor.

Síntoma

La autenticación al servidor secundario Kerberos falla con la respuesta de "tiempo fuera" del servidor.

Ejemplo de salida authd. log:

Nov 21 16:42:30 error: pan_auth_send_rcv_msg (pan_auth_msg. c:90): tiempo de espera de respuesta de authd (0) (ningún archivo o directorio)

Nov 21 16:42:30 pan_auth_send_rcv_msg (pan_auth_msg. c:119): Debug: recibido 0 bytes de authd

Nov 21 16:42:30 error: pan_auth_authenticate_user_str (pan_auth_msg. c:569): no se pudo autenticar el usuario user001

Causa

Tarda 4 segundos hasta que la función de autenticación del cortafuegos consulta el servidor Kerberos secundario. El timeout de servicio L3 predeterminado es de 3 segundos, que es más corto que el tiempo necesario para consultar el servidor secundario. Así, el servicio L3 se rinde antes de recibir una respuesta del servidor Kerberos secundario.

Resolución

Cambiar el valor de tiempo de espera del servicio L3 con los comandos siguientes.

> configurar

# Set deviceconfig ajuste L3-Service timeout<value></value>

commit de #

El valor predeterminado Pruebe la autenticación con un valor de 5 y ajústelo según sea necesario.

Propietario: tshimizu