GlobalProtect 用户在使用 Kerberos 时无法进行身份验证

GlobalProtect 用户在使用 Kerberos 时无法进行身份验证

26683
Created On 09/26/18 19:16 PM - Last Modified 03/26/21 17:26 PM


Symptom


  • 以前, 用户能够成功地进行身份验证, 并且对环境没有进行任何更改。
  • "事件 ID 4771:Kerberos 预认证失败" 日志显示在与 GlobalProtect 身份验证尝试相关联的"活动目录"服务器的安全日志中。
  • 结果0x25代码,也可以在事件日志中看到。

  • 帕洛阿尔托网络 firewall 报告无效的用户名/密码。

Environment


  • GlobalProtect 基础 设施
  • Windows 域环境

Cause


  • Kerberos 需要客户端和服务器之间的时钟间隔少于5分钟。 通过 firewall WebUI 或 CLI :

 

  1. WebUI: 当前时间在仪表板上的 "常规信息" 部分下可用。
  2. CLI:运行命令"显示时钟",查看当前时间 firewall 。

 

  • 将此时间与活动目录服务器的当前时间进行比较。 它们必须在5分钟内进行 Kerberos 身份验证才能正常工作。

Resolution


 

  1. 考虑利用 NTP 将 firewall "活动目录"服务器和"活动目录"服务器同步到同一时间源,以消除此问题再次发生。
  2. 如果 NTP 出于任何原因不是选项,请更新 firewall 或活动目录服务器上的日期和时间,以便它们彼此在 5 分钟内到达。
  3. 如果手动更新时间, 请注意, 与两个设备的时间时钟的小不一致可能会导致此问题在将来再次出现。
  4. 更新: firewall
  • 转到 "设备>设置>管理 ,并在"常规设置"类别下更新日期和时间。
    注意:时间和日期设置将 firewall 立即生效。 不需要提交。

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm45CAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language