kerberos 服务器配置文件中的辅助 Kerberos 服务器的用户身份验证失败

概述

可以在 kerberos 服务器配置文件中为用户身份验证配置多个 kerberos 服务器。例如, 在主服务器停机时, 可以指定辅助 Kerberos 服务器以进行冗余。

问题

帕洛阿尔托网络防火墙只访问第一个 Kerberos 服务器。在第一台服务器中断期间, 辅助 Kerberos 服务器的身份验证失败。

症状

对辅助 Kerberos 服务器的身份验证因服务器的 "超时" 响应而失败。

authd.log 输出的示例:

11月21日 16:42:30错误: pan_auth_send_rcv_msg (pan_auth_msg:90): 等待来自 authd (0) 的响应超时 (没有这样的文件或目录)

11月21日 16:42:30 pan_auth_send_rcv_msg (pan_auth_msg: 119): 调试: 从 authd 收到0个字节

11月21日 16:42:30错误: pan_auth_authenticate_user_str (pan_auth_msg: 569): 无法验证用户 user001

原因

在防火墙身份验证函数查询辅助 Kerberos 服务器之前, 需要4秒。默认的 l3-service 超时是3秒, 短于查询辅助服务器所需的时间。因此, l3-service 在收到辅助 Kerberos 服务器的响应之前放弃。

解决办法

使用下面的命令更改 l3-service 超时值。

> 配置

# 设置 deviceconfig 设置 l3-service 超时<value></value>

# 提交

默认值为<value>3, 范围从3到 30.</value> 测试验证值为 5, 并根据需要进行调整。

所有者: tshimizu