为什么不 GlobalProtect 将身份验证请求发送到半径服务器配置文件中列出的下一台服务器
40068
Created On 12/08/19 07:12 AM - Last Modified 06/29/23 03:49 AM
Question
为什么不将身份验证请求 GlobalProtect 发送到半径服务器配置文件中列出的下一台服务器?
在 authd 日志中,可以看到发送到第一半径的认证请求会被切断时间,而另一个请求不会发送到服务器配置文件中列出的下一台服务器,从而导致身份验证失败。
以下是使用身份验证配置文件"半径"中的半径服务器的身份验证日志的示例输出:
> tail follow yes mp-log authd.log 2019-12-03 00:10:42.447 -0800 debug: _authenticate_initial(pan_auth_state_engine.c:2371): Trying to authenticate (init auth): <profile: "radius", vsys: "vsys1", policy: "", username "xxxx"> ; timeout setting: 25 secs ; authd id: 6761196628998095063 2019-12-03 00:10:42.448 -0800 debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1817): Authenticating user "xxx" with <profile: "radius", vsys: "vsys1"> 2019-12-03 00:10:42.448 -0800 debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxx 2019-12-03 00:10:42.448 -0800 debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP 2019-12-03 00:11:07.815 -0800 debug: pan_auth_response_process(pan_auth_state_engine.c:4523): Auth FAILED for user "xxxx" thru <"radius", "vsys1">: remote server 172.16.59.35 of server profile "radius" is down, or in retry interval, or request timed out (elapsed time 25 secs, max allowed 25 secs) 2019-12-03 00:11:07.815 -0800 debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_FAILURE auth response for user 'xxxx' (exp_in_days=0 (-1 never; 0 within a day))(authd_id: 6761196628998095063) (return domain 'xxxx')
Environment
身份验证配置文件中使用的半径服务器 GlobalProtect 配置文件列出了多个服务器。
GP 门户:
身份验证配置文件:
半径服务器配置文件:
Answer
由于 Gloabl 保护的默认超时时间为 30 秒,因此上述行为可见一斑,这反过来又使默认身份验证超时 25 秒。
身份验证超时计算为( GlobalProtect 超时 - 5)。
GlobalProtect超时时间应与任何服务器配置文件允许连接尝试的总时间相同或大于总时间。 服务器配置文件中的总时间是超时值乘以重试次数和服务器数量。
上一节的半径服务器配置文件的超时值为 56 秒(7x4x2)。
使用以下命令将超时时间增加到 GlobalProtect 60 秒,以便让身份验证继续使用第二台服务器:
# set deviceconfig setting global-protect timeout ? <value> <3-150> timeout in seconds for global-protect gateways # set deviceconfig setting global-protect timeout 60 #commit # show deviceconfig setting global-protect global-protect { timeout 60; }
身份验证时间将会增加至 55 秒。
第一个身份验证请求发出时数后,身份验证将继续使用第二台服务器,不会导致 PAN_AUTH_FAILURE。
以下是使用半径的 authd 日志的示例输出:
debug: _authenticate_initial(pan_auth_state_engine.c:2371): Trying to authenticate (init auth): <profile: "radius", vsys: "vsys1", policy: "", username "xxxx"> ; timeout setting: 55 secs ; authd id: 6761196628998095076 debug: pan_auth_response_process(pan_auth_state_engine.c:4523): Auth FAILED for user "xxxx" thru <"radius", "vsys1">: remote server 172.16.59.35 of server profile "radius" is down, or in retry interval, or request timed out (elapsed time 39 secs, max allowed 55 secs) debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1817): Authenticating user "xxxx" with <profile: "radius", vsys: "vsys1"> debug: pan_authd_radius_create_req_payload(pan_authd_radius.c:230): username: xxxx debug: pan_make_radius_request_buf(pan_authd_radius_prot.c:390): RADIUS request type: PAP
Additional Information
GlobalProtect 除非再次修改或重置到默认值,否则无法使用以下命令看到默认超时
:#显示设备config设置全球保护