Kerberos admin-Authentifizierungsfehler

Kerberos admin-Authentifizierungsfehler

16376
Created On 09/26/18 20:33 PM - Last Modified 06/13/23 04:54 AM


Resolution


Problem

Kerberos Einstellungen erscheinen korrekt, aber wenn das Authentifizierungs Profil für einen Admin-Benutzer verbindlich ist, scheitert die Authentifizierung.

Auszug aus gescheiterten Protokollen:

> Schwanz folgen ja MP-Log authd. log

Oct 24 11:18:26 pan_authd_service_req (pan_authd. c:2604): authd: Versuch, den Benutzer zu entfernten authentifizieren: Bryan

Oct 24 11:18:26 pan_authd_service_auth_req (pan_authd. c:1115): auth-Anfrage<'','','bryan'></'','','bryan'>

Oct 24 11:18:26 Bryan admin wird

Oct 24 11:18:26 pan_authd_handle_admin_auths (pan_authd. c:1968): mit auth Prof Kerberos für admin Bryan

Oct 24 11:18:26 pan_authd_handle_admin_auths (pan_authd. c:2022): Shared/Kerberos ist auth Prof ist vom Typ (auth Profile)

Oct 24 11:18:26 pan_authd_common_authenticate (pan_authd. c:1554): authentifizierender Benutzer mit Service/etc/pam.d/pan_krb5_shared_: Kerberos, username Bryan

Oct 24 11:18:26 pan_authd_authenticate_service (pan_authd. c:663): Authentifizierung gescheitert (6)

Oct 24 11:18:26 Authentifizierung scheiterte für Nutzer<shared,Kerberos,bryan></shared,Kerberos,bryan>

Oct 24 11:18:26 pan_authd_process_authresult (pan_authd. c:1258): pan_authd_process_authresult: Bryan authresult not auth' ED

Oct 24 11:18:26 pan_authd_process_authresult (pan_authd. c:1282): Alarm Generation eingestellt: falsch.

Oct 24 11:18:26 User ' Bryan ' gescheiterte Authentifizierung.  Grund: Ungültiger Benutzername/Passwort von: 10.16.0.96.

Oct 24 11:18:26 pan_get_system_cmd_output (pan_cfg_utils. c:3056): Ausführung:/usr/local/bin/SDB-n-r cfg. Operational-Mode

Oct 24 11:18:26 pan_authd_generate_system_log (pan_authd. c:844): CC aktiviert = false

Oct 24 11:18:26 pan_get_system_cmd_output (pan_cfg_utils. c:3056): Ausführung:/usr/local/bin/SDB-n-r cfg. Operational-Mode

Lösung

Durch den UI oder config-Modus, überprüfen Sie das Realm:

Kerberos-2. Jpg

Verwenden Sie den folgenden CLI-Befehl, um das Reich zu überprüfen:

# Show Shared Server-Profile Kerberos

Kerberos

  Kerberos-Test {

    Server

      w2k3ad.pantac2003.com {

        Host 10.30.1.122;

        Port 88;

      }

    }

    Realm pantac2003.com;

  }

}

Verwenden Sie den folgenden CLI-Befehl, um zu versuchen, das Reich aus dem Gerät zu Ping:

> Ping Host pantac2003.com

Wenn das Ping fehlgeschlagen ist, d.h.:unbekannte Host-pantac2003.com, dann geben Sie einen DNS-Server ein, der das Realm lösen kann.

Diese Einstellung kann über das Gerät Tab > Setup > Services > DNS geändert werden.

Dns. Jpg

Sobald Sie bestätigt haben, dass Sie das Realm lösen können, sollte die Authentifizierung nun erfolgreich sein:

> Schwanz folgen ja MP-Log authd. log

Oct 24 11:20:40 pan_authd_service_req (pan_authd. c:2604): authd: Versuch, den Benutzer zu entfernten authentifizieren: Bryan

Oct 24 11:20:40 pan_authd_service_auth_req (pan_authd. c:1115): auth-Anfrage<'','','bryan'></'','','bryan'>

Oct 24 11:20:40 Bryan admin wird

Oct 24 11:20:40 pan_authd_handle_admin_auths (pan_authd. c:1968): mit auth Prof Kerberos für admin Bryan

Oct 24 11:20:40 pan_authd_handle_admin_auths (pan_authd. c:2022): Shared/Kerberos ist auth Prof ist vom Typ (auth Profile)

Oct 24 11:20:40 pan_authd_common_authenticate (pan_authd. c:1554): authentifizierender Benutzer mit Service/etc/pam.d/pan_krb5_shared_: Kerberos, username Bryan

Oct 24 11:20:40 pan_authd_authenticate_service (pan_authd. c:663): Authentifizierung gelungen (0)

Oct 24 11:20:40 pan_authd_authenticate_service (pan_authd. c:669): Konto ist gültig

Oct 24 11:20:40 Authentifizierung war für Benutzer<shared,Kerberos,bryan></shared,Kerberos,bryan>

Oct 24 11:20:40 pan_authd_process_authresult (pan_authd. c:1258): pan_authd_process_authresult: Bryan authresult auth' ED

Oct 24 11:20:40 Anfrage erhalten, um gemeinsam zu entsperren/Kerberos/Bryan

Oct 24 11:20:40 Benutzer ' Bryan ' authentifiziert.   Von: 10.16.0.96.

Oct 24 11:20:40 pan_get_system_cmd_output (pan_cfg_utils. c:3056): Ausführung:/usr/local/bin/SDB-n-r cfg. Operational-Mode

Oct 24 11:20:40 pan_authd_generate_system_log (pan_authd. c:844): CC aktiviert = false

Oct 24 11:20:40 pan_get_system_cmd_output (pan_cfg_utils. c:3056): Ausführung:/usr/local/bin/SDB-n-r cfg. Operational-Mode

Oct 24 11:20:40 pan_authd_service_req (pan_authd. c:2610): authd: Gruppen Anfrage erhalten

Oct 24 11:20:40 pan_authd_handle_group_req (pan_authd. c:2561): hat Benutzerrolle/Adomain/für User Bryan

Besitzer: Bryan
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5RCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language