Cómo solucionar errores de conexión a servidores LDAP

• Firewall
• LDAP Servidor

1. Desde el firewall CLI, compruebe si la conexión con el LDAP servidor está activa utilizando:

> debug authentication connection-show

2. Compruebe los registros del firewall sistema para el siguiente identificador de evento "auth-server-down", esto se puede hacer desde UI Monitor > Registros > sistema con el siguiente filtro ( eventid eq auth-server-down ) o desde CLI el siguiente comando:

> show log system direction equal backward eventid equal "auth-server-down"

3. FirewallEn el , marque la Ruta de servicio al servidor Configuración de la ruta de > de LDAP dispositivo > Servicios > > haga clic en Personalizar > LDAP:

1. Compruebe la IP conexión entre firewall y el LDAP servidor.

   > ping host <IP address of LDAP server>

   Si el ping se realiza correctamente, proceda a (b) de lo contrario verifique la capa física1 y la capa de enlace de datos2 en su red.
2. Realice una comprobación de traceroute al LDAP servidor:

   > traceroute host <IP address of the LDAP server>

   Del mismo modo, realice una comprobación de trazado desde la LDAP dirección de administración IP del firewallarchivo .
3. Compruebe la dirección permitida IP (configuración de la > del dispositivo> interfaces > haga clic en Administración > direcciones permitidas IP )
4. Realice un tcpdump en la interfaz de administración utilizando este comando si TCP el puerto es 389, de lo contrario, reemplace 389 con el firewall número de puerto correspondiente.

   > tcpdump filter "port 389" snaplen 0

5. Exporte la captura de paquetes tcpdump a un servidor scp o tftp y analícela para rootear la causa del problema de conexión entre firewall y el LDAP servidor.

   > scp export mgmt-pcap from mgmt.pcap to username@host:path

   Tomar captura de paquetes en el LDAP servidor
   Qué buscar en las capturas tcpdump de pasos
   anteriores Busque la finalización del TCP apretón de manos. Si el apretón de manos de 3 vías no se completa, verifique si un dispositivo intermedio podría estar eliminando este tráfico.
   Si lo usa TLS , verifique si SSL se completó el apretón de manos. Si el SSL protocolo de enlace no se completa, compruebe que el certificado del SSL LDAP servidor no ha caducado.
   Si se completa el protocolo de enlace, compare los PCAP en los dos dispositivos para determinar qué dispositivo podría no estar cerrando la conexión.

4. Si la ruta de servicio es la interfaz del plano de datos, entonces desde el firewall CLI:
   1. Compruebe la IP conexión entre firewall la interfaz del plano de datos y el LDAP servidor.

      > ping source <IP address of the dataplane interface> host <IP address of LDAP server>

      Si el ping es exitoso, proceda a b de lo contrario verifique la capa física1 y la capa de enlace de datos2 en su red.
   2. Realice una comprobación de traceroute al LDAP servidor:

      > traceroute source <IP address of the dataplane interface> host <IP address of the LDAP server>

      Del mismo modo, realice una comprobación de traceroute desde la LDAP línea de comandos del servidor hasta la IP dirección del plano de datos del firewallarchivo .
   3. Compruebe la TCP conexión entre firewall el servidor y el LDAP servidor realizando una captura de paquetes en el plano de datos mediante GUI.Comprobar la base de conocimientos Introducción: Captura de paquetes
   4. Compruebe los detalles de la sesión en el archivo firewall CLI.

      > show session all filter source <IP address of the dataplane interface> destination <IP address of the LDAP server>

      la sesión debe mostrarse activa si se descarta y luego comprobar si firewall la seguridad policy, nat y enrutamiento.
   5. Si se realizan las comprobaciones anteriores, compruebe si alguno firewall de los dispositivos de su red está bloqueando esta conexión.

tail mp-log authd.log

2022-07-14 11:55:59.619 -0700 Error: pan_authd_ldap_bind(pan_authd_shared_ldap.c:646): Failed to bind ldap (Can't contact LDAP server)
2022-07-14 11:55:59.620 -0700 Error: pan_auth_create_a_ldap_session(pan_auth_svr_cctxt.c:2038): Failed to bind, get out
2022-07-14 11:55:59.620 -0700 Error: _recreate_a_ldap_session(pan_auth_service_handle.c:538): failed to re-create 0th LDAP session for server: 10.16.0.14:389
2022-07-14 11:55:59.620 -0700 LDAP auth server 10.16.0.14 is down !!!

2022-07-14 11:55:59.620 -0700 debug: auth_svr_set_flag_retry_interval(pan_auth_svr.c:746): set retry-interval flag to "true" at Thu Jul 14 11:55:59 2022
2022-07-14 11:55:59.620 -0700 debug: _start_sync_auth(pan_auth_service_handle.c:617): _report_server_not_avail() succeeded
2022-07-14 11:55:59.620 -0700 debug: pan_auth_response_process(pan_auth_state_engine.c:4322): auth status: auth server not available
2022-07-14 11:55:59.620 -0700 debug: pan_auth_response_process(pan_auth_state_engine.c:4562): Auth FAILED for user "user-id" thru <"ldap-auth-profile", "shared">: remote server 10.16.0.14 of server profile "LDAP-NEW" is down, or in retry interval, or request timed out (elapsed time 30 secs, max allowed 60 secs)
2022-07-14 11:55:59.620 -0700 debug: pan_auth_response_process(pan_auth_state_engine.c:4601): Authentication failed: <profile: "ldap-auth-profile", vsys: "shared", username "user-id">