L'authentification de l'utilisateur échoue avec le serveur Kerberos secondaire dans un profil de serveur Kerberos

Vue d’ensemble

Plusieurs serveurs Kerberos peuvent être configurés dans un profil de serveur Kerberos pour l'authentification des utilisateurs. Un serveur Kerberos secondaire, par exemple, peut être spécifié pour la redondance en cas de panne du serveur principal.

Demande client

Le pare-feu de Palo Alto Networks accède uniquement au premier serveur Kerberos. L'authentification échoue avec le serveur Kerberos secondaire lors d'une panne du premier serveur.

Symptôme

L'authentification au serveur Kerberos secondaire échoue avec la réponse «timed out» du serveur.

Exemple de sortie authd. log:

Nov 21 16:42:30 erreur: pan_auth_send_rcv_msg (pan_auth_msg. c:90): timed out en attente de réponse de authd (0) (aucun fichier ou répertoire)

Nov 21 16:42:30 pan_auth_send_rcv_msg (pan_auth_msg. c:119): Debug: reçu 0 octets de authd

Nov 21 16:42:30 erreur: pan_auth_authenticate_user_str (pan_auth_msg. c:569): impossible d'authentifier l'utilisateur user001

Cause

Il faut 4 secondes jusqu'à ce que la fonction d'authentification du pare-feu interroge le serveur Kerberos secondaire. Le délai d'expiration du service L3 par défaut est de 3 secondes, ce qui est plus court que le temps nécessaire pour interroger le serveur secondaire. Ainsi, le service L3 abandonne avant de recevoir une réponse du serveur Kerberos secondaire.

Résolution

Changez la valeur de délai d'attente L3-service avec les commandes ci-dessous.

> configurer

# Set deviceconfig paramètre L3-délai de service<value></value>

commit #

La valeur par défaut Testez l'authentification avec une valeur de 5 et ajustez au besoin.

propriétaire: tshimizu