Pourquoi la GlobalProtect demande d’authentification n’est pas envoyée au serveur suivant répertorié dans un profil de serveur de rayon

Pourquoi la GlobalProtect demande d’authentification n’est pas envoyée au serveur suivant répertorié dans un profil de serveur de rayon

40074
Created On 12/08/19 07:12 AM - Last Modified 06/29/23 03:49 AM


Question


Pourquoi la demande d’authentification GlobalProtect n’est-elle pas envoyée au serveur suivant répertorié dans le profil du serveur radius ?

Dans les journaux authd, on peut voir que les demandes d’authentification envoyées au premier rayon s’évadent, et qu’une autre demande n’est pas envoyée au serveur suivant répertorié dans le profil du serveur, ce qui entraîne une défaillance de l’authentification.

Voici un exemple de sortie à partir de journaux authd à l’aide du serveur radius dans le profil d’authentification « radius »:
> tail follow yes mp-log authd.log

2019-12-03 00:10:42.447 -0800 debug: _authenticate_initial(pan_auth_state_engine.c:2371): Trying to authenticate (init auth): <profile:
 "radius", vsys: "vsys1", policy: "", username "xxxx"> ; timeout setting: 25 secs ; authd id: 6761196628998095063
2019-12-03 00:10:42.448 -0800 debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1817): Authenticating user "xxx"
 with <profile: "radius", vsys: "vsys1">
2019-12-03 00:10:42.448 -0800 debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxx
2019-12-03 00:10:42.448 -0800 debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP
2019-12-03 00:11:07.815 -0800 debug: pan_auth_response_process(pan_auth_state_engine.c:4523): Auth FAILED for user "xxxx" thru 
<"radius", "vsys1">: remote server 172.16.59.35 of server profile "radius" is down, or in retry interval, or request timed out
 (elapsed time 25 secs, max allowed 25 secs)
2019-12-03 00:11:07.815 -0800 debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_FAILURE auth response for user 'xxxx'
 (exp_in_days=0 (-1 never; 0 within a day))(authd_id: 6761196628998095063) (return domain 'xxxx')

Environment


Le profil du serveur radius utilisé dans le profil GlobalProtect d’authentification a plusieurs serveurs répertoriés.

GPPortail : Profil

onglet d’authentification du portail

d’authentification :

Image ajoutée par l'utilisateur

Profil du serveur Radius:

Image ajoutée par l'utilisateur

Answer


Le comportement ci-dessus est vu en raison de la délai d’attente par défaut de GloablProtect qui est de 30 secondes, ce qui rend le délai d’authentification par défaut de 25 secondes.
Le temps d’authentification est calculé GlobalProtect comme ( délai d’attente - 5 ).

Le GlobalProtect délai d’attente doit être le même ou supérieur au temps total que n’importe quel profil serveur permet de tentatives de connexion. Le temps total dans un profil de serveur est la valeur de délai d’attente multipliée par le nombre de requêtes et le nombre de serveurs.
Le profil du serveur radius de la section précédente a une valeur de délai d’attente de 56 secondes (7x4x2).

Utilisez la commande ci-dessous pour augmenter GlobalProtect le délai d’attente à 60 secondes afin de permettre à l’authentification de continuer avec le deuxième serveur :
 
# set deviceconfig setting global-protect timeout ?
  <value>  <3-150> timeout in seconds for global-protect gateways
# set deviceconfig setting global-protect timeout 60
#commit
# show deviceconfig setting global-protect
global-protect {
  timeout 60;
}



Le temps d’authentification passe à 55 secondes.
Après la première demande d’authentification, l’authentification se poursuit avec le deuxième serveur et n’entraîne PAN_AUTH_FAILURE.

Voici un exemple de sortie de journaux authd utilisant le rayon :
 
debug: _authenticate_initial(pan_auth_state_engine.c:2371): Trying to authenticate (init auth): <profile: "radius", vsys: "vsys1",
policy: "", username "xxxx"> ; timeout setting: 55 secs ; authd id: 6761196628998095076
debug: pan_auth_response_process(pan_auth_state_engine.c:4523): Auth FAILED for user "xxxx" thru <"radius", "vsys1">: remote server
172.16.59.35 of server profile "radius" is down, or in retry interval, or request timed out (elapsed time 39 secs, max allowed 55 secs)
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1817): Authenticating user "xxxx" with <profile: "radius", 
vsys: "vsys1">
debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxx
debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP

Additional Information


GlobalProtect délai d’attente par défaut ne peut pas être vu en utilisant la commande ci-dessous, sauf si elle est modifiée ou réinitialisée à la valeur par défaut à nouveau:

# afficher deviceconfig réglage global-protéger
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNmaCAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language