Comment faire pour résoudre l’échec de connexion aux LDAP serveurs

• Firewall
• LDAP Serveur

1. À partir de firewall CLI, vérifiez si la connexion au LDAP serveur est établie en utilisant :

> debug authentication connection-show

2. Vérifiez les firewall journaux système pour l’ID d’événement suivant « auth-server-down » cela peut être fait à partir de UI sous Monitor > Logs > System avec le filtre suivant ( eventid eq auth-server-down ) ou à l’aide de CLI la commande suivante:

> show log system direction equal backward eventid equal "auth-server-down"

3. Sur le Firewall, vérifiez l’itinéraire de service vers le LDAP serveur Device > Setup > Services > Service Route Configuration > cliquez sur Personnaliser > LDAP:

1. Vérifiez IP la connexion entre firewall et le LDAP serveur.

   > ping host <IP address of LDAP server>

   Si le ping réussit, passez à (b) sinon vérifiez la couche physique1 et la couche de liaison de données2 sur votre réseau.
2. Effectuez une vérification traceroute vers le LDAP serveur :

   > traceroute host <IP address of the LDAP server>

   De même, effectuez une vérification traceroute à partir de l’adresse LDAP de gestion IP du fichier firewall.
3. Vérifiez l’adresse autorisée IP (configuration de l'> de l’appareil> interfaces > cliquez sur Adresses de gestion > autorisées IP )
4. Effectuez un tcpdump sur l’interface de gestion à l’aide de cette commande si TCP le port est 389 sinon remplacez 389 par le firewall numéro de port correspondant.

   > tcpdump filter "port 389" snaplen 0

5. Exportez la capture de paquets tcpdump vers un serveur scp ou tftp et analysez-la pour provoquer le problème de connexion entre firewall le serveur et le LDAP serveur.

   > scp export mgmt-pcap from mgmt.pcap to username@host:path

   Prendre la capture de paquets sur le LDAP serveur
   Ce qu’il faut rechercher dans les captures tcpdump des étapes
   précédentes Recherchez l’achèvement de la TCP négociation. Si la poignée de main 3way ne se termine pas, vérifiez si un périphérique intermédiaire pourrait supprimer ce trafic.
   Si vous utilisez TLS , vérifiez si SSL la poignée de main est terminée. Si la SSL négociation ne se termine pas, vérifiez que le SSL certificat sur le LDAP serveur n’a pas expiré.
   Si la négociation est terminée, comparez les PCAP sur les deux périphériques pour déterminer quel périphérique ne ferme peut-être pas la connexion.

4. Si l’itinéraire de service est l’interface du plan de données, alors à partir de firewall CLI:
   1. Vérifiez IP la connexion entre firewall l’interface du plan de données et le LDAP serveur.

      > ping source <IP address of the dataplane interface> host <IP address of LDAP server>

      Si le ping réussit, passez à b sinon vérifiez la couche physique1 et la couche de liaison de données2 sur votre réseau.
   2. Effectuez une vérification traceroute vers le LDAP serveur :

      > traceroute source <IP address of the dataplane interface> host <IP address of the LDAP server>

      De même, effectuez une vérification traceroute à partir de la ligne de commande du LDAP serveur jusqu’à l’adresse IP du plan de données du firewall.
   3. Vérifiez TCP la connexion entre firewall et le LDAP serveur en effectuant une capture de paquets sur le plan de données à l’aide GUIde .Vérifier la base de connaissances Mise en route : Capture de paquets
   4. Vérifiez les détails de la session sur le fichier firewall CLI.

      > show session all filter source <IP address of the dataplane interface> destination <IP address of the LDAP server>

      session doit s’afficher actif si elle est ignorée, puis vérifier si firewall la sécurité policy, le nat et le routage.
   5. Si les vérifications ci-dessus sont effectuées, vérifiez si un firewall périphérique de votre réseau bloque cette connexion.

tail mp-log authd.log

2022-07-14 11:55:59.619 -0700 Error: pan_authd_ldap_bind(pan_authd_shared_ldap.c:646): Failed to bind ldap (Can't contact LDAP server)
2022-07-14 11:55:59.620 -0700 Error: pan_auth_create_a_ldap_session(pan_auth_svr_cctxt.c:2038): Failed to bind, get out
2022-07-14 11:55:59.620 -0700 Error: _recreate_a_ldap_session(pan_auth_service_handle.c:538): failed to re-create 0th LDAP session for server: 10.16.0.14:389
2022-07-14 11:55:59.620 -0700 LDAP auth server 10.16.0.14 is down !!!

2022-07-14 11:55:59.620 -0700 debug: auth_svr_set_flag_retry_interval(pan_auth_svr.c:746): set retry-interval flag to "true" at Thu Jul 14 11:55:59 2022
2022-07-14 11:55:59.620 -0700 debug: _start_sync_auth(pan_auth_service_handle.c:617): _report_server_not_avail() succeeded
2022-07-14 11:55:59.620 -0700 debug: pan_auth_response_process(pan_auth_state_engine.c:4322): auth status: auth server not available
2022-07-14 11:55:59.620 -0700 debug: pan_auth_response_process(pan_auth_state_engine.c:4562): Auth FAILED for user "user-id" thru <"ldap-auth-profile", "shared">: remote server 10.16.0.14 of server profile "LDAP-NEW" is down, or in retry interval, or request timed out (elapsed time 30 secs, max allowed 60 secs)
2022-07-14 11:55:59.620 -0700 debug: pan_auth_response_process(pan_auth_state_engine.c:4601): Authentication failed: <profile: "ldap-auth-profile", vsys: "shared", username "user-id">