Por qué GlobalProtect la solicitud de autenticación no se envía al siguiente servidor que aparece en un perfil de servidor de radius

Por qué GlobalProtect la solicitud de autenticación no se envía al siguiente servidor que aparece en un perfil de servidor de radius

40072
Created On 12/08/19 07:12 AM - Last Modified 06/29/23 03:49 AM


Question


¿Por qué la solicitud de autenticación GlobalProtect para no se envía al siguiente servidor enumerado en el perfil del servidor de radius?

En los registros de autenticación, se puede ver que las solicitudes de autenticación enviadas al primer servidor de radio agota el tiempo de espera, y otra solicitud no se envía al siguiente servidor enumerado en el perfil del servidor que da lugar a un error de autenticación.

A continuación se muestra una salida de muestra de los registros de autenticación usando el servidor de radius en el perfil de autenticación "radio":
> tail follow yes mp-log authd.log

2019-12-03 00:10:42.447 -0800 debug: _authenticate_initial(pan_auth_state_engine.c:2371): Trying to authenticate (init auth): <profile:
 "radius", vsys: "vsys1", policy: "", username "xxxx"> ; timeout setting: 25 secs ; authd id: 6761196628998095063
2019-12-03 00:10:42.448 -0800 debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1817): Authenticating user "xxx"
 with <profile: "radius", vsys: "vsys1">
2019-12-03 00:10:42.448 -0800 debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxx
2019-12-03 00:10:42.448 -0800 debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP
2019-12-03 00:11:07.815 -0800 debug: pan_auth_response_process(pan_auth_state_engine.c:4523): Auth FAILED for user "xxxx" thru 
<"radius", "vsys1">: remote server 172.16.59.35 of server profile "radius" is down, or in retry interval, or request timed out
 (elapsed time 25 secs, max allowed 25 secs)
2019-12-03 00:11:07.815 -0800 debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_FAILURE auth response for user 'xxxx'
 (exp_in_days=0 (-1 never; 0 within a day))(authd_id: 6761196628998095063) (return domain 'xxxx')

Environment


El perfil de servidor de radius utilizado en el GlobalProtect perfil de autenticación tiene varios servidores enumerados.

GPPortal:

pestaña de autenticación del portal

Perfil de autenticación:

Imagen de usuario añadido

Perfil del servidorradius:

Imagen de usuario añadido

Answer


El comportamiento anterior se ve debido al tiempo de espera predeterminado de GloablProtect que es 30 segundos, que a su vez hace que el tiempo de espera de autenticación predeterminado 25 segundos.
El tiempo de espera de autenticación se calcula como ( GlobalProtect tiempo de espera - 5 ).

El GlobalProtect tiempo de espera debe ser el mismo o mayor que el tiempo total que cualquier perfil de servidor permite para los intentos de conexión. El tiempo total en un perfil de servidor es el valor de tiempo de espera multiplicado por el número de reintentos y el número de servidores.
El perfil de servidor de radio de la sección anterior tiene un valor de tiempo de espera de 56 segundos (7x4x2).

Utilice el comando abajo de aumentar el GlobalProtect tiempo de espera a 60 segundos para permitir que la autenticación continúe con el segundo servidor:
 
# set deviceconfig setting global-protect timeout ?
  <value>  <3-150> timeout in seconds for global-protect gateways
# set deviceconfig setting global-protect timeout 60
#commit
# show deviceconfig setting global-protect
global-protect {
  timeout 60;
}



El tiempo de espera de autenticación aumenta a 55 segundos.
Después de que se agota el tiempo de espera de la primera solicitud de autenticación, la autenticación continúa con el segundo servidor y no da lugar a PAN_AUTH_FAILURE.

Abajo está una salida de muestra de los registros autenticados usando el radio:
 
debug: _authenticate_initial(pan_auth_state_engine.c:2371): Trying to authenticate (init auth): <profile: "radius", vsys: "vsys1",
policy: "", username "xxxx"> ; timeout setting: 55 secs ; authd id: 6761196628998095076
debug: pan_auth_response_process(pan_auth_state_engine.c:4523): Auth FAILED for user "xxxx" thru <"radius", "vsys1">: remote server
172.16.59.35 of server profile "radius" is down, or in retry interval, or request timed out (elapsed time 39 secs, max allowed 55 secs)
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1817): Authenticating user "xxxx" with <profile: "radius", 
vsys: "vsys1">
debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxx
debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP

Additional Information


GlobalProtect El tiempo de espera predeterminado no se puede ver usando el siguiente comando a menos que se modifique o restablezca al valor predeterminado de nuevo:

# show deviceconfig setting global-protect
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNmaCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language