デュオ認証プロキシは PANOS 、8.1.7以上では動作しません

• PANOS8.1.7 以降にアップグレードした後、管理者は firewall LDAP Duo 認証プロキシ サービスをホストする認証サーバに認証することでログインできません。
• 管理者が にログインしようとすると firewall 、Duo Push が取得され、ログイン画面のユーザー名とパスワードのセクションを承認すると、フィールドがリセットされ、「無効なユーザー名とパスワード」と表示されます。
• Firewall'sシステムログには、 LDAP そうでない場合に「認証サーバがダウンしている」というログが表示されます。

• PAN-OS: 8.1.7以上。
• パロ アルト Firewall .
• デュオ認証プロキシ サービスをホストする認証サーバ。
• プロトコル: LDAP .

• この問題は、プロトコル用の 8.1.7 バージョンで追加されたプロアクティブな修正プログラムが原因 LDAP です。
• プロトコルごとに LDAP 、(現在の認証に対する) 特定のユーザーにバインドすると、以降の操作のために binddn/bindpw にバインドできます LDAP 。
• 8.1.7 より前のバージョンでは、エンドユーザーを認証した後 (エンドユーザーの dn を検索してエンドユーザーのパスワードでバインド)、authd は ONE binddn/bindpw にバインドする時間を行いますが、成功したかどうかはチェックしません。エンドユーザーの認証成功/失敗を上位レベルのプロセスに返すだけです。

debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1203): User "test.user" is ACCEPTED (msgid = 4, LDAPp=0x13b2820)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:86): userAccountControl = 512 (not never expire)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:95): Password doesn't expire for "test.user" by maxPwdAge
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1235): Got user expire-in-days: -1 (-1 means no expiration), passwd_exp in auth profile: 7
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1279): binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:614): binding with binddn cn=***********,ou=*********,ou=********,dc=*********,dc=***
Error:  _get_ldap_result(pan_authd_shared_ldap.c:569): ldap op failed Can't contact LDAP server
Error:  pan_authd_ldap_bind(pan_authd_shared_ldap.c:629): failed to get ldap result 
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1282): Failed to rebind, get out
debug: pan_auth_response_process(pan_auth_state_engine.c:4271): auth status: auth success

• 8.1.7 バージョンから、エンドユーザーの認証後 (エンドユーザーの dn を検索してエンドユーザーのパスワードでバインドする) が、authd は THREE 、(ネットワークが非常に不安定な場合に備えて) 成功するまで binddn/bindpw にバインドする回数まで実行します。binddn/bindpw へのバインドが失敗した場合に 3 回試行した後でも、authd は「サーバーに再接続する必要がある LDAP 」を上位レベルに戻し、接続が役に立たないとみなします。

debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1232): User "test.user" is ACCEPTED (msgid = 4, LDAPp=0x1db04e0)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:88): userAccountControl = 512 (not never expire)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:136): pwdlastset: 13197988228 seconds since January 1, 1601 (UTC)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:155): AD pwd expires in days 37 (max 255 warning limit)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1264): Got user expire-in-days: -1 (-1 means no expiration), passwd_exp in auth profile: 7
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1312): binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:630): binding with binddn binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
Error:  _get_ldap_result(pan_authd_shared_ldap.c:585): ldap op failed Can't contact LDAP server
Error:  pan_authd_ldap_bind(pan_authd_shared_ldap.c:645): failed to get ldap result 
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1315): Failed to rebind back to binddn (Try 1)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1312): binding back to binddn: binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:630): binding with binddn binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
Error:  pan_authd_ldap_bind(pan_authd_shared_ldap.c:639): Failed to bind ldap (Can't contact LDAP server)
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1315): Failed to rebind back to binddn (Try 2)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1312): binding back to binddn: binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:630): binding with binddn binding back to binddn: cn=***********,ou=*********,ou=********,dc=*********,dc=***
Error:  pan_authd_ldap_bind(pan_authd_shared_ldap.c:639): Failed to bind ldap (Can't contact LDAP server)
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1315): Failed to rebind back to binddn (Try 3)
Error:  _generate_bind_back_to_binddn_fail_log(pan_authd_shared_ldap.c:1043): 3 tries to bind back to binddn failed: basedn: DC=*********,DC=*** ; binddn: cn=***********,
ou=*********,ou=********,dc=*********,dc=*** ; bind_timelimit 30 ; ip: 192.168.43.29 ; uri: ldap://192.168.43.29:389
Error:  _start_sync_auth(pan_auth_service_handle.c:603): LDAP auth: "Can't contact LDAP server" against 192.168.43.29:389 with 0th VOIDp=0x1db04e0
Error:  _start_sync_auth(pan_auth_service_handle.c:606): -> enter into retry interval (wait for 60 sec)
LDAP auth server 192.168.43.29 is down !!!

• デフォルトでは、 DUO ユーザー認証後にバインドを binddn/bindpw に戻す機能はサポートされません。 これにより、バインドバックが binddn/bindpw に失敗し、管理者認証が失敗します。

1. プロトコルに従って LDAP 、binddn/bindpw へのバインドは、接続内で必要な回数だけ行うことができます。したがって、変更は最後に行う必要 DUO があり、これはDuoプロキシ設定ファイルに設定変更を適用することによって達成することができます。 DUOこれらの変更に関する詳細については、サポート チームに連絡する必要があります。

2. RADIUSDuo 認証プロキシ サービスを使用して認証サーバーと通信するために使用します。

• LDAPと認証サーバーとの間の最初の接続時 firewall LDAP に、認証は BIND binddn/bindpw を使用します。 この BIND 操作は firewall 、ディレクトリ サーバーへの認証と、後続の操作に使用される許可 ID の確立に役立ちます。
• ユーザーが資格情報を提供すると LDAP 、認証はユーザーの dn を検索し、ユーザーの pw とバインドして認証サーバーに送信することでエンド ユーザーを LDAP 認証します。 LDAP 認証サーバーはそれに応じて応答します。
• ユーザーが認証されると、認証はバインドを binddn/bindpw に戻します。
• これにより、認証は 1 つの接続を維持 LDAP し、高いスループットを得るために何百万もの認証のためにそれを再利用するのに役立ちます。
• バインドバックをバインドして認証コードの一部にしなかった場合は、認証ごとに新しい接続を作成 LDAP し、接続を破棄する必要があります。