Beheben von Verbindungsfehlern zu LDAP Servern

• Firewall
• LDAP Server

1. Überprüfen Sie im , ob die Verbindung zum LDAP Server hergestellt ist, indem Sie firewall CLIFolgendes verwenden:

> debug authentication connection-show

2. Überprüfen Sie die Systemprotokolle auf die firewall folgende Ereignis-ID "auth-server-down" Dies kann UI unter Monitor > Logs > System mit folgendem Filter ( eventid eq auth-server-down ) oder mit dem folgenden Befehl erfolgen CLI :

> show log system direction equal backward eventid equal "auth-server-down"

3. Aktivieren Sie auf der Firewalldie Dienstroute zum Servergerät, LDAP > Sie > Dienste > Dienstroutenkonfiguration einrichten > klicken Sie auf > LDAPanpassen :

1. Überprüfen Sie IP die Verbindung zwischen firewall und dem LDAP Server.

   > ping host <IP address of LDAP server>

   Wenn der Ping erfolgreich ist, fahren Sie mit (b) fort, andernfalls überprüfen Sie die physikalische Schicht 1 und die Datenverbindungsschicht 2 in Ihrem Netzwerk.
2. Führen Sie eine Traceroute-Überprüfung zum Server durch LDAP :

   > traceroute host <IP address of the LDAP server>

   Führen Sie auf ähnliche Weise eine Traceroute-Prüfung von der LDAP zur Verwaltungsadresse IP von .firewall
3. Überprüfen Sie die zulässige Adresse (Geräte- > Setup> Schnittstellen > klicken Sie auf Verwaltung > Zulässige IP IP Adressen)
4. Führen Sie mit diesem Befehl einen tcpdump auf der firewall Verwaltungsschnittstelle durch, wenn Port 389 ist, TCP andernfalls ersetzen Sie 389 durch die entsprechende Portnummer.

   > tcpdump filter "port 389" snaplen 0

5. Exportieren Sie die tcpdump-Paketerfassung auf einen SCP- oder TFTP-Server und analysieren Sie sie, um das Verbindungsproblem zwischen firewall und dem LDAP Server zu verursachen.

   > scp export mgmt-pcap from mgmt.pcap to username@host:path

   Paketerfassung auf dem Server
   Worauf Sie bei tcpdump-Erfassungen aus früheren Schritten
   achten sollten Suchen Sie nach dem LDAP Abschluss des TCP Handshakes. Wenn der 3-Wege-Handshake nicht abgeschlossen wird, überprüfen Sie, ob ein Zwischengerät diesen Datenverkehr möglicherweise abbricht.
   Überprüfen Sie bei der Verwendung TLS , ob SSL der Handshake abgeschlossen ist. Wenn der SSL Handshake nicht abgeschlossen wird, überprüfen Sie, ob das SSL Zertifikat auf dem LDAP Server nicht abgelaufen ist.
   Wenn der Handshake abgeschlossen ist, vergleichen Sie die PCAPs auf den beiden Geräten, um festzustellen, welches Gerät die Verbindung möglicherweise nicht schließt.

4. Wenn die Serviceroute eine Datenebenenschnittstelle ist, dann von der firewall CLI:
   1. Überprüfen Sie IP die Verbindung zwischen firewall der Datenebenenschnittstelle und dem LDAP Server.

      > ping source <IP address of the dataplane interface> host <IP address of LDAP server>

      Wenn ping erfolgreich ist, fahren Sie mit b fort, andernfalls überprüfen Sie physical layer1 und data link layer2 in Ihrem Netzwerk.
   2. Führen Sie eine Traceroute-Überprüfung zum Server durch LDAP :

      > traceroute source <IP address of the dataplane interface> host <IP address of the LDAP server>

      Führen Sie auf ähnliche Weise eine Traceroute-Überprüfung von der Serverbefehlszeile an die IP Adresse der LDAP Datenebene von .firewall
   3. Überprüfen Sie die Verbindung zwischen firewall und dem LDAP Server, indem Sie TCP eine Paketerfassung auf der Datenebene mit GUIdurchführen.Wissensdatenbank "Erste Schritte: Paketerfassung" überprüfen
   4. Überprüfen Sie die Sitzungsdetails auf .firewall CLI

      > show session all filter source <IP address of the dataplane interface> destination <IP address of the LDAP server>

      Die Sitzung sollte aktiv angezeigt werden, wenn sie verworfen wird, und überprüfen Sie dann, ob firewall Sicherheit policy, NAT und Routing.
   5. Wenn die oben genannten Überprüfungen durchgeführt wurden, überprüfen Sie, ob ein firewall Gerät in Ihrem Netzwerk diese Verbindung blockiert.

tail mp-log authd.log

2022-07-14 11:55:59.619 -0700 Error: pan_authd_ldap_bind(pan_authd_shared_ldap.c:646): Failed to bind ldap (Can't contact LDAP server)
2022-07-14 11:55:59.620 -0700 Error: pan_auth_create_a_ldap_session(pan_auth_svr_cctxt.c:2038): Failed to bind, get out
2022-07-14 11:55:59.620 -0700 Error: _recreate_a_ldap_session(pan_auth_service_handle.c:538): failed to re-create 0th LDAP session for server: 10.16.0.14:389
2022-07-14 11:55:59.620 -0700 LDAP auth server 10.16.0.14 is down !!!

2022-07-14 11:55:59.620 -0700 debug: auth_svr_set_flag_retry_interval(pan_auth_svr.c:746): set retry-interval flag to "true" at Thu Jul 14 11:55:59 2022
2022-07-14 11:55:59.620 -0700 debug: _start_sync_auth(pan_auth_service_handle.c:617): _report_server_not_avail() succeeded
2022-07-14 11:55:59.620 -0700 debug: pan_auth_response_process(pan_auth_state_engine.c:4322): auth status: auth server not available
2022-07-14 11:55:59.620 -0700 debug: pan_auth_response_process(pan_auth_state_engine.c:4562): Auth FAILED for user "user-id" thru <"ldap-auth-profile", "shared">: remote server 10.16.0.14 of server profile "LDAP-NEW" is down, or in retry interval, or request timed out (elapsed time 30 secs, max allowed 60 secs)
2022-07-14 11:55:59.620 -0700 debug: pan_auth_response_process(pan_auth_state_engine.c:4601): Authentication failed: <profile: "ldap-auth-profile", vsys: "shared", username "user-id">