Échecs d'authentification administrateur Kerberos
Resolution
Demande client
Les paramètres Kerberos semblent corrects, mais lors de la liaison du profil d'authentification pour un utilisateur admin, l'authentification échoue.
Extrait de logs échoués:
> queue suivre Oui MP-log authd. log
Oct 24 11:18:26 pan_authd_service_req (pan_authd. c:2604): authd: essayer d'authentifier à distance utilisateur: Bryan
Oct 24 11:18:26 pan_authd_service_auth_req (pan_authd. c:1115): demande auth<'','','bryan'></'','','bryan'>
Oct 24 11:18:26 Bryan admin est authed
Oct 24 11:18:26 pan_authd_handle_admin_auths (pan_authd. c:1968): Using auth Prof Kerberos pour admin Bryan
Oct 24 11:18:26 pan_authd_handle_admin_auths (pan_authd. c:2022): Shared/Kerberos est auth Prof est de type (AUTH Profile)
Oct 24 11:18:26 pan_authd_common_authenticate (pan_authd. c:1554): authentification de l'utilisateur à l'aide de service/etc/pam.d/pan_krb5_shared_: Kerberos, username Bryan
Oct 24 11:18:26 pan_authd_authenticate_service (pan_authd. c:663): échec de l'authentification (6)
Oct 24 11:18:26 échec de l'authentification pour l'utilisateur<shared,Kerberos,bryan></shared,Kerberos,bryan>
Oct 24 11:18:26 pan_authd_process_authresult (pan_authd. c:1258): pan_authd_process_authresult: Bryan authresult pas auth'ed
Oct 24 11:18:26 pan_authd_process_authresult (pan_authd. c:1282): génération d'alarmes réglée sur: false.
Oct 24 11:18:26 utilisateur'Bryan'échec de l'authentification. Motif: nom d'utilisateur/mot de passe invalide: 10.16.0.96.
Oct 24 11:18:26 pan_get_system_cmd_output (pan_cfg_utils. c:3056): exécution:/usr/local/bin/sdb-n-r cfg. operational-mode
Oct 24 11:18:26 pan_authd_generate_system_log (pan_authd. c:844): CC Enabled = False
Oct 24 11:18:26 pan_get_system_cmd_output (pan_cfg_utils. c:3056): exécution:/usr/local/bin/sdb-n-r cfg. operational-mode
Résolution
Via le mode interface utilisateur ou config, vérifiez le domaine:
Utilisez la commande CLI suivante pour vérifier le domaine:
# afficher le serveur partagé-profil Kerberos
Kerberos
Kerberos-test {
serveur
w2k3ad.pantac2003.com {
hôte 10.30.1.122;
port 88;
}
}
pantac2003.com de Royaume;
}
}
Utilisez la commande CLI suivante pour tenter de Pinger le Royaume à partir du périphérique:
> ping Host pantac2003.com
Si le ping a échoué, à savoir:hôte inconnu pantac2003.com, puis entrez un serveur DNS capable de résoudre le Royaume.
Ce paramètre peut être modifié via l'onglet Device > Setup > services > DNS.
Une fois confirmé que vous pouvez résoudre le Royaume, l'authentification doit maintenant être réussie:
> queue suivre Oui MP-log authd. log
Oct 24 11:20:40 pan_authd_service_req (pan_authd. c:2604): authd: essayer d'authentifier à distance utilisateur: Bryan
Oct 24 11:20:40 pan_authd_service_auth_req (pan_authd. c:1115): demande auth<'','','bryan'></'','','bryan'>
Oct 24 11:20:40 Bryan admin est authed
Oct 24 11:20:40 pan_authd_handle_admin_auths (pan_authd. c:1968): Using auth Prof Kerberos pour admin Bryan
Oct 24 11:20:40 pan_authd_handle_admin_auths (pan_authd. c:2022): Shared/Kerberos est auth Prof est de type (AUTH Profile)
Oct 24 11:20:40 pan_authd_common_authenticate (pan_authd. c:1554): authentification de l'utilisateur à l'aide de service/etc/pam.d/pan_krb5_shared_: Kerberos, username Bryan
Oct 24 11:20:40 pan_authd_authenticate_service (pan_authd. c:663): authentification réussie (0)
Oct 24 11:20:40 pan_authd_authenticate_service (pan_authd. c:669): le compte est valide
Oct 24 11:20:40 authentification réussie pour l'utilisateur<shared,Kerberos,bryan></shared,Kerberos,bryan>
Oct 24 11:20:40 pan_authd_process_authresult (pan_authd. c:1258): pan_authd_process_authresult: Bryan authresult auth'ed
Oct 24 11:20:40 demande reçue pour déverrouiller Shared/Kerberos/Bryan
Oct 24 11:20:40 utilisateur'Bryan'authentifié. De: 10.16.0.96.
Oct 24 11:20:40 pan_get_system_cmd_output (pan_cfg_utils. c:3056): exécution:/usr/local/bin/sdb-n-r cfg. operational-mode
Oct 24 11:20:40 pan_authd_generate_system_log (pan_authd. c:844): CC Enabled = False
Oct 24 11:20:40 pan_get_system_cmd_output (pan_cfg_utils. c:3056): exécution:/usr/local/bin/sdb-n-r cfg. operational-mode
Oct 24 11:20:40 pan_authd_service_req (pan_authd. c:2610): authd: obtenir une demande de groupe
Oct 24 11:20:40 pan_authd_handle_group_req (pan_authd. c:2561): Got utilisateur Role/Adomain/pour l'utilisateur Bryan
propriétaire: Bryan