GlobalProtect Kerberos を使用する際にユーザーが認証できない

GlobalProtect Kerberos を使用する際にユーザーが認証できない

26681
Created On 09/26/18 19:16 PM - Last Modified 03/26/21 17:26 PM


Symptom


  • 以前は、ユーザーが正常に認証され、環境に変更が加えられていませんでした。
  • 「イベント ID 4771: Kerberos 事前認証が失敗しました」 ログは、認証の試行と関連付けられている Active Directory サーバーのセキュリティ ログに表示 GlobalProtect されます。
  • 結果コード0x25もイベント ログに記録されます。

  • パロアルトネットワークスは firewall 、無効なユーザー名/パスワードを報告します。

Environment


  • GlobalProtect インフラストラクチャ
  • ウィンドウズドメイン環境

Cause


  • Kerberos では、クライアントとサーバーの間のクロックを5分未満にする必要があります。 firewallWebUI または を使用して現在の時刻を確認します CLI 。

 

  1. WebUI: 現在の時刻は、ダッシュボードの [全般情報] セクションで利用できます。
  2. CLI: コマンド 「show clock」 を実行して、 の現在の時刻を表示 firewall します。

 

  • この時間を Active Directory サーバーの現在の時刻と比較します。 Kerberos 認証が機能するには、互いに5分以内である必要があります。

Resolution


 

  1. NTP firewall この問題が再発しないようにするために、 と Active Directory サーバーの両方を同じタイム ソースに同期することを検討してください。
  2. NTP何らかの理由でオプションがない場合は、 または Active Directory サーバー上の日付と時刻を更新 firewall して、両方が互いに 5 分以内になるようにします。
  3. 時間を手動で更新する場合は、両方のデバイスのタイムクロックとの軽微な不整合によって、今後この問題が再び浮上される可能性があることに注意してください。
  4. の時刻を更新するには firewall 、
  • [デバイス>の設定] >管理] に移動し、[全般設定]カテゴリの [日付と時刻] を更新します。
    メモ: 時刻と日付の設定は、 firewall 直ちに有効になります。 コミットは必要ありません。

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm45CAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language