Warum GlobalProtect eine Authentifizierungsanforderung nicht an den nächsten Server gesendet wird, der in einem Radiusserverprofil aufgeführt ist

Warum GlobalProtect eine Authentifizierungsanforderung nicht an den nächsten Server gesendet wird, der in einem Radiusserverprofil aufgeführt ist

40078
Created On 12/08/19 07:12 AM - Last Modified 06/29/23 03:49 AM


Question


Warum wird die Authentifizierungsanforderung für GlobalProtect nicht an den nächsten Server gesendet, der im Radiusserverprofil aufgeführt ist?

In den authd-Protokollen wird angezeigt, dass Authentifizierungsanforderungen, die an den ersten Radius gesendet werden, ein Zeitvertreib aufweisen und keine andere Anforderung an den nächsten Server gesendet wird, der im Serverprofil aufgeführt ist, was zu einem Authentifizierungsfehler führt.

Im Folgenden finden Sie eine Beispielausgabe von authd-Protokollen, die den Radiusserver im Authentifizierungsprofil "radius" verwenden:
> tail follow yes mp-log authd.log

2019-12-03 00:10:42.447 -0800 debug: _authenticate_initial(pan_auth_state_engine.c:2371): Trying to authenticate (init auth): <profile:
 "radius", vsys: "vsys1", policy: "", username "xxxx"> ; timeout setting: 25 secs ; authd id: 6761196628998095063
2019-12-03 00:10:42.448 -0800 debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1817): Authenticating user "xxx"
 with <profile: "radius", vsys: "vsys1">
2019-12-03 00:10:42.448 -0800 debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxx
2019-12-03 00:10:42.448 -0800 debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP
2019-12-03 00:11:07.815 -0800 debug: pan_auth_response_process(pan_auth_state_engine.c:4523): Auth FAILED for user "xxxx" thru 
<"radius", "vsys1">: remote server 172.16.59.35 of server profile "radius" is down, or in retry interval, or request timed out
 (elapsed time 25 secs, max allowed 25 secs)
2019-12-03 00:11:07.815 -0800 debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_FAILURE auth response for user 'xxxx'
 (exp_in_days=0 (-1 never; 0 within a day))(authd_id: 6761196628998095063) (return domain 'xxxx')

Environment


Für das radius-Serverprofil, das im Authentifizierungsprofil verwendet wird, GlobalProtect werden mehrere Server aufgelistet.

GP Portal:

Registerkarte Portalauthentifizierung

Authentifizierungsprofil:

Benutzeriertes Bild

Radius-Serverprofil:

Benutzeriertes Bild

Answer


Das obige Verhalten wird aufgrund des Standardtimeouts von GloablProtect angezeigt, das 30 Sekunden beträgt, was wiederum das Standardmäßige Authentifizierungstimeout 25 Sekunden macht.
Authentifizierungstimeout wird als ( GlobalProtect Timeout - 5 )

berechnet. Das GlobalProtect Timeout sollte mit der Gesamtzeit, die ein Serverprofil für Verbindungsversuche zulässt, gleich oder größer sein. Die Gesamtzeit in einem Serverprofil ist der Timeoutwert multipliziert mit der Anzahl der Wiederholungen und der Anzahl der Server.
Das Radiusserverprofil aus dem vorherigen Abschnitt hat einen Timeoutwert von 56 Sekunden (7x4x2).

Verwenden Sie den folgenden Befehl, um das Timeout auf 60 Sekunden zu erhöhen, damit die GlobalProtect Authentifizierung mit dem zweiten Server fortgesetzt werden kann:
 
# set deviceconfig setting global-protect timeout ?
  <value>  <3-150> timeout in seconds for global-protect gateways
# set deviceconfig setting global-protect timeout 60
#commit
# show deviceconfig setting global-protect
global-protect {
  timeout 60;
}



Das Authentifizierungstimeout erhöht sich auf 55 Sekunden.
Nach dem Zeitender der ersten Authentifizierungsanforderung wird die Authentifizierung mit dem zweiten Server fortgesetzt und führt nicht zu PAN_AUTH_FAILURE.

Unten ist eine Beispielausgabe von authd-Protokollen mit Radius:
 
debug: _authenticate_initial(pan_auth_state_engine.c:2371): Trying to authenticate (init auth): <profile: "radius", vsys: "vsys1",
policy: "", username "xxxx"> ; timeout setting: 55 secs ; authd id: 6761196628998095076
debug: pan_auth_response_process(pan_auth_state_engine.c:4523): Auth FAILED for user "xxxx" thru <"radius", "vsys1">: remote server
172.16.59.35 of server profile "radius" is down, or in retry interval, or request timed out (elapsed time 39 secs, max allowed 55 secs)
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1817): Authenticating user "xxxx" with <profile: "radius", 
vsys: "vsys1">
debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxx
debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP

Additional Information


GlobalProtect Das Standardtimeout kann nicht mit dem folgenden Befehl angezeigt werden,

es sei denn, er wird geändert oder erneut auf den Standardwert zurückgesetzt:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNmaCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language