Errores de autenticación de admin de Kerberos
Resolution
Incidencia
La configuración de Kerberos parece correcta pero al enlazar el perfil de autenticación para un usuario admin, la autenticación falla.
Extracto de logs fallidos:
> cola seguir sí MP-log authd. log
Oct 24 11:18:26 pan_authd_service_req (pan_authd. c:2604): authd: tratando de autenticar a distancia usuario: Bryan
Oct 24 11:18:26 pan_authd_service_auth_req (pan_authd. c:1115): solicitud de autenticación<'','','bryan'></'','','bryan'>
Oct 24 11:18:26 Bryan admin está siendo autentificado
Oct 24 11:18:26 pan_authd_handle_admin_auths (pan_authd. c:1968): utilizar auth Prof Kerberos para admin Bryan
Oct 24 11:18:26 pan_authd_handle_admin_auths (pan_authd. c:2022): Shared/Kerberos is auth profe is of Type (auth Profile)
Oct 24 11:18:26 pan_authd_common_authenticate (pan_authd. c:1554): autenticando al usuario mediante el servicio/etc/pam.d/pan_krb5_shared_: Kerberos, nombre de usuario Bryan
Oct 24 11:18:26 pan_authd_authenticate_service (pan_authd. c:663): error de autenticación (6)
Oct 24 11:18:26 error de autenticación para el usuario<shared,Kerberos,bryan></shared,Kerberos,bryan>
Oct 24 11:18:26 pan_authd_process_authresult (pan_authd. c:1258): pan_authd_process_authresult: Bryan authresult no auth'ed
Oct 24 11:18:26 pan_authd_process_authresult (pan_authd. c:1282): generación de alarmas establecida en: false.
Oct 24 11:18:26 usuario ' Bryan ' error de autenticación. Razón: nombre de usuario/contraseña no válido de: 10.16.0.96.
Oct 24 11:18:26 pan_get_system_cmd_output (pan_cfg_utils. c:3056): ejecutando:/usr/local/bin/SDB-n-r cfg. operacional-modo
Oct 24 11:18:26 pan_authd_generate_system_log (pan_authd. c:844): CC Enabled = False
Oct 24 11:18:26 pan_get_system_cmd_output (pan_cfg_utils. c:3056): ejecutando:/usr/local/bin/SDB-n-r cfg. operacional-modo
Resolución
A través del modo UI o config, verifique el Reino:
Utilice el siguiente comando CLI para verificar el Reino:
# Mostrar Kerberos de Perfil de servidor compartido
Kerberos
Kerberos-test {
servidor
w2k3ad.pantac2003.com {
host 10.30.1.122;
puerto 88;
}
}
Reino pantac2003.com;
}
}
Utilice el siguiente comando CLI para intentar hacer ping al Reino desde el dispositivo:
> ping host pantac2003.com
Si el ping falló, es decir:pantac2003.com host desconocido, escriba un servidor DNS capaz de resolver el Reino.
Esta configuración se puede modificar a través de la ficha dispositivo > Setup > servicios > DNS.
Una vez confirmado usted puede resolver el Reino, la autenticación debe ahora tener éxito:
> cola seguir sí MP-log authd. log
Oct 24 11:20:40 pan_authd_service_req (pan_authd. c:2604): authd: tratar de autenticar a distancia usuario: Bryan
Oct 24 11:20:40 pan_authd_service_auth_req (pan_authd. c:1115): solicitud de autenticación<'','','bryan'></'','','bryan'>
Oct 24 11:20:40 Bryan admin está siendo autentificado
Oct 24 11:20:40 pan_authd_handle_admin_auths (pan_authd. c:1968): utilizar auth Prof Kerberos para admin Bryan
Oct 24 11:20:40 pan_authd_handle_admin_auths (pan_authd. c:2022): Shared/Kerberos is auth profe is of Type (auth Profile)
Oct 24 11:20:40 pan_authd_common_authenticate (pan_authd. c:1554): autenticando al usuario mediante el servicio/etc/pam.d/pan_krb5_shared_: Kerberos, nombre de usuario Bryan
Oct 24 11:20:40 pan_authd_authenticate_service (pan_authd. c:663): autentificación tenida éxito (0)
Oct 24 11:20:40 pan_authd_authenticate_service (pan_authd. c:669): la cuenta es válida
Oct 24 11:20:40 autenticación con éxito para el usuario<shared,Kerberos,bryan></shared,Kerberos,bryan>
Oct 24 11:20:40 pan_authd_process_authresult (pan_authd. c:1258): pan_authd_process_authresult: Bryan authresult auth'ed
Oct 24 11:20:40 solicitud recibida para desbloquear Shared/Kerberos/Bryan
Oct 24 11:20:40 usuario ' Bryan ' autenticado. From: 10.16.0.96.
Oct 24 11:20:40 pan_get_system_cmd_output (pan_cfg_utils. c:3056): ejecutando:/usr/local/bin/SDB-n-r cfg. operacional-modo
Oct 24 11:20:40 pan_authd_generate_system_log (pan_authd. c:844): CC Enabled = False
Oct 24 11:20:40 pan_get_system_cmd_output (pan_cfg_utils. c:3056): ejecutando:/usr/local/bin/SDB-n-r cfg. operacional-modo
Oct 24 11:20:40 pan_authd_service_req (pan_authd. c:2610): authd: obtener solicitud de grupo
Oct 24 11:20:40 pan_authd_handle_group_req (pan_authd. c:2561): consiguió el papel del usuario/adomain/para el usuario Bryan
Propietario: Bryan