GlobalProtect Benutzer können sich bei der Verwendung von Kerberos nicht authentifizieren

GlobalProtect Benutzer können sich bei der Verwendung von Kerberos nicht authentifizieren

26673
Created On 09/26/18 19:16 PM - Last Modified 03/26/21 17:26 PM


Symptom


  • Zuvor konnten sich die Nutzer erfolgreich authentifizieren und es wurden keine Änderungen an der Umwelt vorgenommen.
  • "Ereignis ID 4771: Kerberos Pre-Authentication failed"-Protokolle werden in den Sicherheitsprotokollen des Active Directory-Servers angezeigt, die mit den GlobalProtect Authentifizierungsversuchen korrelieren.
  • Ergebniscode 0x25 kann auch im Ereignisprotokoll angezeigt werden.

  • Palo Alto Networks firewall meldet ungültigen Benutzernamen/Kennwort.

Environment


  • GlobalProtect Infrastruktur
  • Windows-Domänenumgebung

Cause


  • Kerberos verlangt, dass die Uhr zwischen einem Client und dem Server weniger als 5 Minuten auseinander liegt. Überprüfen Sie die firewall aktuelle Uhrzeit von über die WebUI oder die CLI :

 

  1. WebUI: die aktuelle Uhrzeit ist unter der Rubrik "Allgemeine Informationen" auf dem Armaturenbrett verfügbar.
  2. CLI: Führen Sie den Befehl "Uhr anzeigen " aus, um die aktuelle Uhrzeit der firewall anzuzeigen.

 

  • Vergleichen Sie diese Zeit mit der aktuellen Uhrzeit des Active Directory Servers. Sie müssen innerhalb von 5 Minuten zueinander sein, damit Kerberos Authentifizierung funktioniert.

Resolution


 

  1. Erwägen Sie, NTP sowohl den active Directory-Server als auch den Active Directory-Server mit der gleichen Zeitquelle zu synchronisieren, um zu firewall verhindern, dass sich dieses Problem wiederholt.
  2. Wenn NTP dies aus irgendeinem Grund keine Option ist, aktualisieren Sie das Datum und die Uhrzeit auf dem firewall oder dem Active Directory-Server, sodass sie sich beide innerhalb von 5 Minuten voneinander befinden.
  3. Wenn Sie die Uhrzeit manuell aktualisieren, sollten Sie sich bewusst sein, dass kleinere Ungereimtheiten mit der Zeituhr beider Geräte in Zukunft wahrscheinlich dazu führen werden, dass dieses Problem wieder auftauchen wird.
  4. So aktualisieren Sie die Uhrzeit firewall auf:
  • Wechseln Sie zu Device > Setup > Management und aktualisieren Sie Datum und Uhrzeit unter der Kategorie"Allgemeine Einstellungen".
    Hinweis:Die Zeit- und Datumseinstellungen werden firewall sofort wirksam. Eine Übergabe ist nicht notwendig.

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm45CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language