概述
可以在 kerberos 服务器配置文件中为用户身份验证配置多个 kerberos 服务器。例如, 在主服务器停机时, 可以指定辅助 Kerberos 服务器以进行冗余。
问题
帕洛阿尔托网络防火墙只访问第一个 Kerberos 服务器。在第一台服务器中断期间, 辅助 Kerberos 服务器的身份验证失败。
症状
对辅助 Kerberos 服务器的身份验证因服务器的 "超时" 响应而失败。
authd.log 输出的示例:
11月21日 16:42:30错误: pan_auth_send_rcv_msg (pan_auth_msg:90): 等待来自 authd (0) 的响应超时 (没有这样的文件或目录)
11月21日 16:42:30 pan_auth_send_rcv_msg (pan_auth_msg: 119): 调试: 从 authd 收到0个字节
11月21日 16:42:30错误: pan_auth_authenticate_user_str (pan_auth_msg: 569): 无法验证用户 user001
原因
在防火墙身份验证函数查询辅助 Kerberos 服务器之前, 需要4秒。默认的 l3-service 超时是3秒, 短于查询辅助服务器所需的时间。因此, l3-service 在收到辅助 Kerberos 服务器的响应之前放弃。
解决办法
使用下面的命令更改 l3-service 超时值。
> 配置
# 设置 deviceconfig 设置 l3-service 超时<value></value>
# 提交
默认值为<value>3, 范围从3到 30.</value> 测试验证值为 5, 并根据需要进行调整。
所有者: tshimizu