GlobalProtect Utilisateurs incapables de s’authentifier lors de l’utilisation de Kerberos

26675

Created On 09/26/18 19:16 PM - Last Modified 03/26/21 17:26 PM

Symptom

Auparavant, les utilisateurs pouvaient s'authentifier avec succès et aucune modification n'a été apportée à l'environnement.
Les journaux " ID Event 4771: Kerberos Pre-authentication failed " sont visibles dans les journaux de sécurité du serveur Active Directory qui sont corrélés avec les tentatives GlobalProtect d’authentification.
Le code de 0x25 peut également être vu dans le journal des événements.
Palo Alto Networks signale un firewall nom d’utilisateur/mot de passe non valide.

Kerberos nécessite l'horloge entre un client et le serveur à moins de 5 minutes d'intervalle. Vérifiez firewall l’heure actuelle soit via le WebUI ou le CLI :

IU: l'heure actuelle est disponible sous la section "informations générales" du tableau de bord.
CLI: Exécutez la commande " horloge d’exposition " pour voir l’heure actuelle de la firewall .

Comparez cette heure avec l'heure actuelle du serveur Active Directory. Ils doivent être à moins de 5 minutes l'un de l'autre pour que l'authentification Kerberos fonctionne.

Envisagez NTP d’utiliser pour synchroniser le serveur active et le serveur d’annuaire actif à firewall la même source de temps afin d’éliminer ce problème de se reproduire.
Si ce NTP n’est pas une option pour une raison quelconque, mettez à jour la date et l’heure sur le serveur d’annuaire actif ou pour qu’ils soient tous les deux firewall à moins de 5 minutes l’un de l’autre.
Si la mise à jour manuelle de l'heure, sachez que des incohérences mineures avec l'horloge des deux appareils seront susceptibles de provoquer ce problème de refaire surface à l'avenir.
Pour mettre à jour l’heure sur le firewall :

Passez à l'> configurer > gestion et mettez à jour la date et l’heure dansla catégorie « Paramètresgénéraux ».
Remarque: Les paramètres d’heure et de date entreront en vigueur firewall immédiatement. Aucun commit n'est né cessaire.