概要
kerberos サーバープロファイルでは、ユーザー認証用に複数の kerberos サーバーを構成できます。たとえば、セカンダリ Kerberos サーバーは、プライマリサーバーが停止した場合の冗長性のために指定できます。
問題
パロアルトネットワークファイアウォールは、最初の Kerberos サーバーにのみアクセスします。最初のサーバーの停止中に、セカンダリ Kerberos サーバーで認証が失敗します。
問題の状況
セカンダリ Kerberos サーバーへの認証は、サーバーからの "タイムアウト" 応答で失敗します。
authd 出力の例:
11月 21 16:42:30エラー: pan_auth_send_rcv_msg (pan_auth_msg c:90): authd (0) からの応答を待ってタイムアウト (そのようなファイルまたはディレクトリ)
11月 21 16:42:30 pan_auth_send_rcv_msg (pan_auth_msg c:119): デバッグ: authd から0バイトを受信しました
11月 21 16:42:30エラー: pan_auth_authenticate_user_str (pan_auth_msg c:569): ユーザーの認証に失敗しました user001
原因
ファイアウォール認証機能がセカンダリ Kerberos サーバーを照会するまで、4秒かかります。既定の l3 サービスタイムアウトは3秒で、セカンダリサーバーのクエリに必要な時間よりも短くなります。したがって、l3 サービスは、セカンダリ Kerberos サーバーからの応答を受信する前にはあきらめます。
解決方法
l3 サービスのタイムアウト値を以下のコマンドで変更します。
> 構成
# セット deviceconfig 設定 l3-サービスタイムアウト<value></value>
# コミット
既定値<value>は3で、範囲は3から30です。</value> 5の値を使用して認証をテストし、必要に応じて調整します。
所有者: tshimizu