Duo Authentication Proxy funktioniert nicht mit PANOS 8.1.7 oder höher

• Nach dem Upgrade PANOS auf 8.1.7 oder höher kann sich der Administrator nicht bei einem Authentifizierungsserver anmelden, der firewall einen LDAP Duo-Authentifizierungsproxydienst hostet.
• Wenn ein Administrator versucht, sich bei firewall anzumelden, erhält er einen Duo Push und wenn er auf genehmigen den Benutzernamen und den Passwort-Abschnitt des Anmeldebildschirms trifft, wird das Feld zurückgesetzt und "ungültiger Benutzername und Kennwort" angezeigt.
• FirewallDas Systemprotokoll zeigt ein Protokoll an, das besagt, dass LDAP "auth server down" ist, wenn dies nicht der Fall ist.

• PAN-OS: 8.1.7 oder höher.
• Palo Alto Firewall .
• Authentifizierungsserver, der den Duo Authentication Proxy-Dienst hostet.
• Protokoll: LDAP .

• Dieses Problem ist auf eine proaktive Korrektur zurückzuführen, die in der Version 8.1.7 für das Protokoll hinzugefügt LDAP wurde.
• Gemäß LDAP Protokoll, sobald die Bindung an einen bestimmten Benutzer (gegen den die aktuelle Authentifizierung ist) durchgeführt wird, können wir für zukünftige Vorgänge an binddn/bindpw LDAP binden.
• Vor der Version 8.1.7, nach der Authentifizierung eines Endbenutzers (Suche nach dn des Endbenutzers und binden Sie es mit dem Kennwort des Endbenutzers), bindet authd die ONE Zeit an binddn/bindpw, überprüft jedoch nicht, ob er erfolgreich ist oder nicht.Es gibt nur den Auth-Erfolg/-Fehler des Endbenutzers an den Prozess der oberen Ebene zurück.

debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1203): User "test.user" is ACCEPTED (msgid = 4, LDAPp=0x13b2820)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:86): userAccountControl = 512 (not never expire)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:95): Password doesn't expire for "test.user" by maxPwdAge
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1235): Got user expire-in-days: -1 (-1 means no expiration), passwd_exp in auth profile: 7
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1279): binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:614): binding with binddn cn=***********,ou=*********,ou=********,dc=*********,dc=***
Error:  _get_ldap_result(pan_authd_shared_ldap.c:569): ldap op failed Can't contact LDAP server
Error:  pan_authd_ldap_bind(pan_authd_shared_ldap.c:629): failed to get ldap result 
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1282): Failed to rebind, get out
debug: pan_auth_response_process(pan_auth_state_engine.c:4271): auth status: auth success

• Ab der Version 8.1.7 bindet authd nach der Authentifizierung eines Endbenutzers (suche nach dem dn des Endbenutzers und bindet ihn mit dem Kennwort des Endbenutzers) bis zum THREE Erfolg an binddn/bindpw (falls das Netzwerk sehr instabil ist).Auch nach 3 Versuchen, wenn die Bindung an binddn/bindpw fehlschlägt, gibt authd "Need to re connect to server" auf die obere Ebene zurück LDAP und würde die Verbindung für nicht nützlich halten.

debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1232): User "test.user" is ACCEPTED (msgid = 4, LDAPp=0x1db04e0)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:88): userAccountControl = 512 (not never expire)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:136): pwdlastset: 13197988228 seconds since January 1, 1601 (UTC)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:155): AD pwd expires in days 37 (max 255 warning limit)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1264): Got user expire-in-days: -1 (-1 means no expiration), passwd_exp in auth profile: 7
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1312): binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:630): binding with binddn binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
Error:  _get_ldap_result(pan_authd_shared_ldap.c:585): ldap op failed Can't contact LDAP server
Error:  pan_authd_ldap_bind(pan_authd_shared_ldap.c:645): failed to get ldap result 
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1315): Failed to rebind back to binddn (Try 1)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1312): binding back to binddn: binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:630): binding with binddn binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
Error:  pan_authd_ldap_bind(pan_authd_shared_ldap.c:639): Failed to bind ldap (Can't contact LDAP server)
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1315): Failed to rebind back to binddn (Try 2)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1312): binding back to binddn: binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:630): binding with binddn binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
Error:  pan_authd_ldap_bind(pan_authd_shared_ldap.c:639): Failed to bind ldap (Can't contact LDAP server)
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1315): Failed to rebind back to binddn (Try 3)
Error:  _generate_bind_back_to_binddn_fail_log(pan_authd_shared_ldap.c:1043): 3 tries to bind back to binddn failed: basedn: DC=*********,DC=*** ; binddn: cn=***********,
ou=*********,ou=********,dc=*********,dc=*** ; bind_timelimit 30 ; ip: 192.168.43.29 ; uri: ldap://192.168.43.29:389
Error:  _start_sync_auth(pan_auth_service_handle.c:603): LDAP auth: "Can't contact LDAP server" against 192.168.43.29:389 with 0th VOIDp=0x1db04e0
Error:  _start_sync_auth(pan_auth_service_handle.c:606): -> enter into retry interval (wait for 60 sec)
LDAP auth server 192.168.43.29 is down !!!

• Standardmäßig DUO wird die Bindung an binddn/bindpw nach der Benutzerauthentifizierung nicht unterstützt. Dies führt dazu, dass die Bindung zurück zu binddn/bindpw fehlschlägt und daher die Admin-Authentifizierung fehlschlägt.

1. Gemäß LDAP Protokoll kann die Bindung an binddn/bindpw so oft wie nötig innerhalb einer Verbindung erfolgen.Daher muss am Ende eine Änderung vorgenommen DUO werden, die durch Anwenden einer Konfigurationsänderung auf die Duo-Proxykonfigurationsdatei erreicht werden kann. Der Kunde muss sich an das Support-Team wenden, um weitere Informationen zu diesen Änderungen zu DUO erhalten.

2. Wird RADIUS verwendet, um mit dem Authentifizierungsserver über den Duo Authentication Proxy-Dienst zu kommunizieren.

• Während der ersten LDAP Verbindung zwischen firewall und LDAP auth Server verwendet authd BIND binddn/bindpw. Dieser BIND Vorgang firewall hilft, sich beim Verzeichnisserver zu authentifizieren und eine Autorisierungsidentität einzurichten, die für den nachfolgenden Vorgang verwendet wird.
• Wenn ein Benutzer die LDAP Anmeldeinformationen bereitstellt, authentifiziert authd den Endbenutzer, indem er nach dem dn des Benutzers sucht und ihn mit dem pw des Benutzers bindet und an LDAP den auth-Server sendet. LDAP auth-Server reagiert dementsprechend darauf.
• Nachdem der Benutzer authentifiziert wurde, führt authd die Bindung zurück an binddn/bindpw aus.
• Dies hilft authd, eine Verbindung zu pflegen LDAP und sie für Millionen von Authentifizierungen wiederzuverwenden, um einen hohen Durchsatz zu haben.
• Wenn die Bindung an bindn/bindpw nicht Teil von authd-Code war, muss für jede Authentifizierung eine neue Verbindung erstellt LDAP und dann die Verbindung heruntergerissen werden.