GlobalProtectRADIUS サーバ プロファイルにリストされている次のサーバに認証要求が送信されない理由
40076
Created On 12/08/19 07:12 AM - Last Modified 06/29/23 03:49 AM
Question
RADIUS サーバ GlobalProtect プロファイル
にリストされている次のサーバに対する認証要求が送信されない理由authd ログでは、最初の radius サーバに送信された認証要求がタイムアウトし、別の要求がサーバ プロファイルにリストされている次のサーバに送信されず、認証が失敗することが分かる。
以下は、認証プロファイル「radius」で radius サーバを使用した authd ログからの出力例です。
> tail follow yes mp-log authd.log 2019-12-03 00:10:42.447 -0800 debug: _authenticate_initial(pan_auth_state_engine.c:2371): Trying to authenticate (init auth): <profile: "radius", vsys: "vsys1", policy: "", username "xxxx"> ; timeout setting: 25 secs ; authd id: 6761196628998095063 2019-12-03 00:10:42.448 -0800 debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1817): Authenticating user "xxx" with <profile: "radius", vsys: "vsys1"> 2019-12-03 00:10:42.448 -0800 debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxx 2019-12-03 00:10:42.448 -0800 debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP 2019-12-03 00:11:07.815 -0800 debug: pan_auth_response_process(pan_auth_state_engine.c:4523): Auth FAILED for user "xxxx" thru <"radius", "vsys1">: remote server 172.16.59.35 of server profile "radius" is down, or in retry interval, or request timed out (elapsed time 25 secs, max allowed 25 secs) 2019-12-03 00:11:07.815 -0800 debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_FAILURE auth response for user 'xxxx' (exp_in_days=0 (-1 never; 0 within a day))(authd_id: 6761196628998095063) (return domain 'xxxx')
Environment
認証プロファイルで使用される RADIUS サーバ GlobalProtect プロファイルには、複数のサーバがリストされています。
GP ポータル:
認証プロファイル:
RADIUS サーバ プロファイル:
Answer
上記の動作は、30 秒の GloablProtect のデフォルトのタイムアウトが原因で発生し、デフォルトの認証タイムアウトは 25 秒になります。
認証タイムアウトは、タイムアウト - 5 として計算 GlobalProtect されます。
GlobalProtectタイムアウトは、サーバー・プロファイルが接続試行を許可する合計時間と同じか、またはそれより長くする必要があります。 サーバー・プロファイルの合計時間は、タイムアウト値に再試行回数とサーバー数を掛けた値です。
前のセクションの RADIUS サーバ プロファイルのタイムアウト値は 56 秒 (7x4x2) です。
次のコマンドを使用して GlobalProtect タイムアウトを 60 秒に増やして、2 番目のサーバーで認証を続行できるようにします。
# set deviceconfig setting global-protect timeout ?
<value> <3-150> timeout in seconds for global-protect gateways
# set deviceconfig setting global-protect timeout 60
#commit
# show deviceconfig setting global-protect
global-protect {
timeout 60;
}認証タイムアウトは 55 秒に増加します。
最初の認証要求がタイムアウトした後、認証は 2 番目のサーバーで続行され 、PAN_AUTH_FAILUREは発生しません。
radius を使用した認証ログからの出力例を次に示します。
debug: _authenticate_initial(pan_auth_state_engine.c:2371): Trying to authenticate (init auth): <profile: "radius", vsys: "vsys1", policy: "", username "xxxx"> ; timeout setting: 55 secs ; authd id: 6761196628998095076 debug: pan_auth_response_process(pan_auth_state_engine.c:4523): Auth FAILED for user "xxxx" thru <"radius", "vsys1">: remote server 172.16.59.35 of server profile "radius" is down, or in retry interval, or request timed out (elapsed time 39 secs, max allowed 55 secs) debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1817): Authenticating user "xxxx" with <profile: "radius", vsys: "vsys1"> debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxx debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP
Additional Information
GlobalProtect デフォルトのタイムアウトは、変更されるか、再びデフォルト値にリセットされない限り、以下のコマンドを使用して表示することはできません:
# show deviceconfig設定グローバルプロテクト