GlobalProtect 用户在使用 Kerberos 时无法进行身份验证
26683
Created On 09/26/18 19:16 PM - Last Modified 03/26/21 17:26 PM
Symptom
- 以前, 用户能够成功地进行身份验证, 并且对环境没有进行任何更改。
- "事件 ID 4771:Kerberos 预认证失败" 日志显示在与 GlobalProtect 身份验证尝试相关联的"活动目录"服务器的安全日志中。
- 结果0x25代码,也可以在事件日志中看到。
帕洛阿尔托网络 firewall 报告无效的用户名/密码。
Environment
- GlobalProtect 基础 设施
- Windows 域环境
Cause
- Kerberos 需要客户端和服务器之间的时钟间隔少于5分钟。 通过 firewall WebUI 或 CLI :
- WebUI: 当前时间在仪表板上的 "常规信息" 部分下可用。
- CLI:运行命令"显示时钟",查看当前时间 firewall 。
- 将此时间与活动目录服务器的当前时间进行比较。 它们必须在5分钟内进行 Kerberos 身份验证才能正常工作。