GlobalProtect Usuarios que no pueden autenticarse al usar Kerberos

26677

Created On 09/26/18 19:16 PM - Last Modified 03/26/21 17:26 PM

Symptom

Anteriormente, los usuarios podían autenticarse correctamente y no se habían realizado cambios en el entorno.
Los registros de "Evento ID 4771: Autenticación previa kerberos fallaron" en los registros de seguridad del servidor de Active Directory que se correlacionan con los GlobalProtect intentos de autenticación.
El código de 0x25 de resultados también se puede ver en el registro de eventos.
Palo Alto Networks firewall notifica nombre de usuario/contraseña no válidos.

Kerberos requiere que el reloj entre un cliente y el servidor esté a menos de 5 minutos de distancia. Compruebe la firewall hora actual de 's ya sea a través de la WebUI CLI o:

WebUI: la hora actual está disponible bajo la sección "información general" en el salpicadero.
CLI: Ejecute el comando "show clock" para ver la hora actual del firewall .

Compare este tiempo con la hora actual del servidor de Active Directory. Deben estar a menos de 5 minutos para que funcione la autenticación Kerberos.

Considere la posibilidad de NTP utilizar para sincronizar el servidor y el servidor de Active Directory con el mismo origen de tiempo para firewall eliminar este problema de volver a ocurrir.
Si NTP no es una opción por cualquier motivo, actualice la fecha y la hora en el servidor o en el servidor de Active Directory para que ambos estén dentro de los firewall 5 minutos entre sí.
Si actualiza manualmente la hora, tenga en cuenta que las inconsistencias menores con el reloj de tiempo de ambos dispositivos probablemente harán que este problema vuelva a emerger en el futuro.
Para actualizar la hora firewall en:

Vaya a Administración de > de la > de la aplicación y actualice la fecha y la hora en la categoría " Configuracióngeneral".
Nota:La configuración de hora y fecha surtirá efecto firewall inmediatamente. No es necesario cometer ningún commit.