Kerberos admin-Authentifizierungsfehler
Resolution
Problem
Kerberos Einstellungen erscheinen korrekt, aber wenn das Authentifizierungs Profil für einen Admin-Benutzer verbindlich ist, scheitert die Authentifizierung.
Auszug aus gescheiterten Protokollen:
> Schwanz folgen ja MP-Log authd. log
Oct 24 11:18:26 pan_authd_service_req (pan_authd. c:2604): authd: Versuch, den Benutzer zu entfernten authentifizieren: Bryan
Oct 24 11:18:26 pan_authd_service_auth_req (pan_authd. c:1115): auth-Anfrage<'','','bryan'></'','','bryan'>
Oct 24 11:18:26 Bryan admin wird
Oct 24 11:18:26 pan_authd_handle_admin_auths (pan_authd. c:1968): mit auth Prof Kerberos für admin Bryan
Oct 24 11:18:26 pan_authd_handle_admin_auths (pan_authd. c:2022): Shared/Kerberos ist auth Prof ist vom Typ (auth Profile)
Oct 24 11:18:26 pan_authd_common_authenticate (pan_authd. c:1554): authentifizierender Benutzer mit Service/etc/pam.d/pan_krb5_shared_: Kerberos, username Bryan
Oct 24 11:18:26 pan_authd_authenticate_service (pan_authd. c:663): Authentifizierung gescheitert (6)
Oct 24 11:18:26 Authentifizierung scheiterte für Nutzer<shared,Kerberos,bryan></shared,Kerberos,bryan>
Oct 24 11:18:26 pan_authd_process_authresult (pan_authd. c:1258): pan_authd_process_authresult: Bryan authresult not auth' ED
Oct 24 11:18:26 pan_authd_process_authresult (pan_authd. c:1282): Alarm Generation eingestellt: falsch.
Oct 24 11:18:26 User ' Bryan ' gescheiterte Authentifizierung. Grund: Ungültiger Benutzername/Passwort von: 10.16.0.96.
Oct 24 11:18:26 pan_get_system_cmd_output (pan_cfg_utils. c:3056): Ausführung:/usr/local/bin/SDB-n-r cfg. Operational-Mode
Oct 24 11:18:26 pan_authd_generate_system_log (pan_authd. c:844): CC aktiviert = false
Oct 24 11:18:26 pan_get_system_cmd_output (pan_cfg_utils. c:3056): Ausführung:/usr/local/bin/SDB-n-r cfg. Operational-Mode
Lösung
Durch den UI oder config-Modus, überprüfen Sie das Realm:
Verwenden Sie den folgenden CLI-Befehl, um das Reich zu überprüfen:
# Show Shared Server-Profile Kerberos
Kerberos
Kerberos-Test {
Server
w2k3ad.pantac2003.com {
Host 10.30.1.122;
Port 88;
}
}
Realm pantac2003.com;
}
}
Verwenden Sie den folgenden CLI-Befehl, um zu versuchen, das Reich aus dem Gerät zu Ping:
> Ping Host pantac2003.com
Wenn das Ping fehlgeschlagen ist, d.h.:unbekannte Host-pantac2003.com, dann geben Sie einen DNS-Server ein, der das Realm lösen kann.
Diese Einstellung kann über das Gerät Tab > Setup > Services > DNS geändert werden.
Sobald Sie bestätigt haben, dass Sie das Realm lösen können, sollte die Authentifizierung nun erfolgreich sein:
> Schwanz folgen ja MP-Log authd. log
Oct 24 11:20:40 pan_authd_service_req (pan_authd. c:2604): authd: Versuch, den Benutzer zu entfernten authentifizieren: Bryan
Oct 24 11:20:40 pan_authd_service_auth_req (pan_authd. c:1115): auth-Anfrage<'','','bryan'></'','','bryan'>
Oct 24 11:20:40 Bryan admin wird
Oct 24 11:20:40 pan_authd_handle_admin_auths (pan_authd. c:1968): mit auth Prof Kerberos für admin Bryan
Oct 24 11:20:40 pan_authd_handle_admin_auths (pan_authd. c:2022): Shared/Kerberos ist auth Prof ist vom Typ (auth Profile)
Oct 24 11:20:40 pan_authd_common_authenticate (pan_authd. c:1554): authentifizierender Benutzer mit Service/etc/pam.d/pan_krb5_shared_: Kerberos, username Bryan
Oct 24 11:20:40 pan_authd_authenticate_service (pan_authd. c:663): Authentifizierung gelungen (0)
Oct 24 11:20:40 pan_authd_authenticate_service (pan_authd. c:669): Konto ist gültig
Oct 24 11:20:40 Authentifizierung war für Benutzer<shared,Kerberos,bryan></shared,Kerberos,bryan>
Oct 24 11:20:40 pan_authd_process_authresult (pan_authd. c:1258): pan_authd_process_authresult: Bryan authresult auth' ED
Oct 24 11:20:40 Anfrage erhalten, um gemeinsam zu entsperren/Kerberos/Bryan
Oct 24 11:20:40 Benutzer ' Bryan ' authentifiziert. Von: 10.16.0.96.
Oct 24 11:20:40 pan_get_system_cmd_output (pan_cfg_utils. c:3056): Ausführung:/usr/local/bin/SDB-n-r cfg. Operational-Mode
Oct 24 11:20:40 pan_authd_generate_system_log (pan_authd. c:844): CC aktiviert = false
Oct 24 11:20:40 pan_get_system_cmd_output (pan_cfg_utils. c:3056): Ausführung:/usr/local/bin/SDB-n-r cfg. Operational-Mode
Oct 24 11:20:40 pan_authd_service_req (pan_authd. c:2610): authd: Gruppen Anfrage erhalten
Oct 24 11:20:40 pan_authd_handle_group_req (pan_authd. c:2561): hat Benutzerrolle/Adomain/für User Bryan
Besitzer: Bryan