Duo Authentication Proxy no funciona con PANOS 8.1.7 o superior

• Después de actualizar PANOS a 8.1.7 o superior, el administrador no puede iniciar sesión firewall autenticando al LDAP servidor de autenticación que hospeda un servicio proxy de autenticación duo.
• Cuando un administrador intenta iniciar sesión firewall en , obtendrían un empuje duo y cuando pulsan aprobar la sección de nombre de usuario y contraseña de la pantalla de inicio de sesión restablecería el campo y diría "nombre de usuario y contraseña no válidos."
• FirewallEl registro del sistema mostrará un registro que indica que LDAP "el servidor de autenticación está abajo", cuando no lo está.

• PAN-OS: 8.1.7 o superior.
• Palo Alto Firewall .
• Servidor de autenticación que hospeda el servicio proxy de autenticación duo.
• Protocolo: LDAP .

• Este problema se debe a una corrección proactiva que se agregó en la versión 8.1.7 para LDAP el protocolo.
• Según el LDAP protocolo, una vez enlazado a un usuario específico (contra el que se opone la autenticación actual), podemos enlazar de nuevo a binddn/bindpw para LDAP futuras operaciones.
• Antes de la versión 8.1.7, después de autenticar a un usuario final (buscar dn del usuario final y enlazarlo con la contraseña del usuario final), authd ONE hace el tiempo de enlace a binddn / bindpw, pero no comprueba si se realiza correctamente o no.Simplemente devuelve el éxito/error de autenticación del usuario final al proceso de nivel superior.

debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1203): User "test.user" is ACCEPTED (msgid = 4, LDAPp=0x13b2820)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:86): userAccountControl = 512 (not never expire)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:95): Password doesn't expire for "test.user" by maxPwdAge
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1235): Got user expire-in-days: -1 (-1 means no expiration), passwd_exp in auth profile: 7
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1279): binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:614): binding with binddn cn=***********,ou=*********,ou=********,dc=*********,dc=***
Error:  _get_ldap_result(pan_authd_shared_ldap.c:569): ldap op failed Can't contact LDAP server
Error:  pan_authd_ldap_bind(pan_authd_shared_ldap.c:629): failed to get ldap result 
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1282): Failed to rebind, get out
debug: pan_auth_response_process(pan_auth_state_engine.c:4271): auth status: auth success

• A partir de la versión 8.1.7, después de autenticar a un usuario final (buscar el dn del usuario final y enlazarlo con la contraseña del usuario final), authd hace hasta THREE veces enlazar a binddn / bindpw hasta que se realiza correctamente (en caso de que la red es muy inestable).Incluso después de 3 intentos si se produce un error en el enlace a binddn/bindpw, authd devolverá "need to reconnect to LDAP server" al nivel superior y consideraría que la conexión no es útil.

debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1232): User "test.user" is ACCEPTED (msgid = 4, LDAPp=0x1db04e0)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:88): userAccountControl = 512 (not never expire)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:136): pwdlastset: 13197988228 seconds since January 1, 1601 (UTC)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:155): AD pwd expires in days 37 (max 255 warning limit)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1264): Got user expire-in-days: -1 (-1 means no expiration), passwd_exp in auth profile: 7
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1312): binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:630): binding with binddn binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
Error:  _get_ldap_result(pan_authd_shared_ldap.c:585): ldap op failed Can't contact LDAP server
Error:  pan_authd_ldap_bind(pan_authd_shared_ldap.c:645): failed to get ldap result 
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1315): Failed to rebind back to binddn (Try 1)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1312): binding back to binddn: binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:630): binding with binddn binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
Error:  pan_authd_ldap_bind(pan_authd_shared_ldap.c:639): Failed to bind ldap (Can't contact LDAP server)
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1315): Failed to rebind back to binddn (Try 2)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1312): binding back to binddn: binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:630): binding with binddn binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
Error:  pan_authd_ldap_bind(pan_authd_shared_ldap.c:639): Failed to bind ldap (Can't contact LDAP server)
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1315): Failed to rebind back to binddn (Try 3)
Error:  _generate_bind_back_to_binddn_fail_log(pan_authd_shared_ldap.c:1043): 3 tries to bind back to binddn failed: basedn: DC=*********,DC=*** ; binddn: cn=***********,
ou=*********,ou=********,dc=*********,dc=*** ; bind_timelimit 30 ; ip: 192.168.43.29 ; uri: ldap://192.168.43.29:389
Error:  _start_sync_auth(pan_auth_service_handle.c:603): LDAP auth: "Can't contact LDAP server" against 192.168.43.29:389 with 0th VOIDp=0x1db04e0
Error:  _start_sync_auth(pan_auth_service_handle.c:606): -> enter into retry interval (wait for 60 sec)
LDAP auth server 192.168.43.29 is down !!!

• De forma predeterminada, DUO no admite el enlace de nuevo a binddn/bindpw después de la autenticación de usuario. Esto hace que el enlace de nuevo a binddn/bindpw falle y, por lo tanto, se produce un error en la autenticación de administrador.

1. Según el LDAP protocolo, el enlace de nuevo a binddn/bindpw se puede hacer tantas veces como sea necesario dentro de una conexión.Por lo tanto, un cambio tiene que hacerse al DUO final y esto se puede lograr aplicando un cambio de configuración al archivo de configuración de proxy Duo. El Cliente deberá ponerse en contacto con el DUO equipo de soporte para obtener más información sobre estos cambios.

2. RADIUSUtilí con el servidor de autenticación mediante el servicio proxy de autenticación duo.

• Durante la conexión inicial LDAP entre y el servidor de firewall LDAP autenticación, authd BIND usará binddn/bindpw. Esta BIND operación ayuda a firewall autenticarse en el servidor de directorios y a establecer una identidad de autorización que se usará para la operación posterior.
• Cuando un usuario proporciona las LDAP credenciales, authd autenticará al usuario final buscando el dn del usuario y enlazando con pw del usuario y lo enviará al LDAP servidor de autenticación. LDAP En consecuencia, el servidor de autenticación responderá a él.
• Después de autenticar al usuario, authd vuelve a enlazar a binddn/bindpw.
• Esto ayuda a authd a mantener una LDAP conexión y reutilizarla para millones de autenticación para tener un alto rendimiento.
• Si el enlace de nuevo a bindn/bindpw no formaba parte del código de autenticación, deberá crear una nueva conexión para cada autenticación y, a LDAP continuación, derribar la conexión.