Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Verwenden der Authentifizierungssequenz für GlobalProtect die A... - Knowledge Base - Palo Alto Networks

Verwenden der Authentifizierungssequenz für GlobalProtect die Arbeit mit lokalen Konten und LDAP Konten

33273
Created On 10/16/20 20:42 PM - Last Modified 07/11/24 18:45 PM


Objective


  • Dieser Artikel soll Kunden bei der Konfiguration für GlobalProtect die Arbeit mit lokalen Konten und Konten LDAP mit einer Authentifizierungssequenz unterstützen.


Environment


  • Palo Alto Networks Firewall
  • LDAP und Authentifizierungsprofile für lokale Benutzerdatenbanken

 



Procedure


 

  1. Konfigurieren Sie die Authentifizierungssequenz und fügen Sie die Authentifizierungsprofile hinzu, indem Sie zu Device > Authentication Sequence navigieren > Wählen Sie "Hinzufügen"
Hinweis: Palo Alto Networks firewall unterstützt keine SAML Authentifizierung bei der Authentifizierungssequenz.

 

Snapshot mit Dem Dialogfeld "Authentifizierungssequenz"
 

 

  1. Wählen Sie unter Netzwerk > > GlobalProtect Portale > Wählen Sie Portal > Authentifizierung > Registerkarte Clientauthentifizierungaus, ändern Sie eine vorhandene Authentifizierung oder fügen Sie eine Clientauthentifizierung hinzu, wählen Sie die in Schritt 1 unter Authentifizierungsprofil erstellte Authentifizierungssequenz aus, und wählen Sie OK

 

Snapshot zum Anzeigen des Dialogfelds für die GlobalProtect Portalclientauthentifizierung

 

  1. Wiederholen Sie dasselbe für GlobalProtect die Gatewaykonfiguration (Registerkarte Clientauthentifizierung).

 

Snapshot mit dem Dialogfeld für die GlobalProtect Gatewayclientauthentifizierung.

 

 
  1. Übernehmen Sie die Änderungen an Firewall der .
  2. Versuchen Sie, die GlobalProtect App Verbindung mit der Authentifizierungssequenz herzustellen, die in Schritt 1 unter Authentifizierungsprofil erstellt wurde.
     

 



Additional Information


  • Eine Authentifizierungssequenz ist ein Satz von Authentifizierungsprofilen, die firewall zum Authentifizieren von Benutzern verwendet werden, wenn sie sich anmelden.
  • Der firewall versucht die Profile sequenziell vom Anfang der Liste nach unten und wendet die Authentifizierung für jedes Profil an, bis ein Profil den Benutzer erfolgreich authentifiziert.
  • Der firewall Zugriff wird nur verweigert, wenn alle Profile in der Sequenz nicht authentifiziert werden können.
  • Zum Beispiel:
  1. Wenn der Benutzer "ldapuser" in der LDAP Serverbenutzergruppe vorhanden ist, wird er anhand des LDAP Authentifizierungsprofils authentifiziert.
  2. Wenn der Benutzer "localuser" Teil von Local DB ist, versucht er zuerst, sich gegen LDAP das Authentifizierungsprofil zu authentifizieren (Benutzer ist nicht vorhanden), und dann fällt er auf das lokale Authentifizierungsprofil zurück und wird authentifiziert.
  3. Wenn Benutzer "ldapuser" sowohl in der Benutzergruppe als auch in Lokal vorhanden LDAP DB ist, authentifiziert er sich beim LDAP Authentifizierungsprofil. Es wird nur dann auf das lokale DB Authentifizierungsprofil zurückfallen, wenn LDAP der Server nicht reagiert oder ausfällt.
  • Authentifizierungsprotokolle bei Verwendung von LDAP Anmeldeinformationen.
debug: authd_sysd_profile_domain_callback(pan_auth_sysd.c:1018): get domain for vsys1/LDAP-Local-Auth-Seq  <<<<<<<<<<<<<Auth sequence
debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "LDAP-Auth", vsys "vsys1" (method: LDAP (active directory)) has sso hash table id: 0 (0 means no or invalid keytab)  <<<<<<<<< LDAP-Authentication on top of the list
debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "Local-Auth", vsys "vsys1" (method: local) has sso hash table id: 0 (0 means no or invalid keytab)  <<<<<<<<<<<< Local Authentication second in the list
debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "ldapuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158348
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "ldapuser" ; auth  profile "LDAP-Local-Auth-Seq" ; vsys "vsys1"
debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (LDAP-Local-Auth-Seq/vsys1) is auth sequence
debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:628): This is a single vsys platform, group check for allow list is performed on "vsys1"
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "ldapuser" with <profile: "LDAP-Auth", vsys: "vsys1">, which is Auth Profile 1 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1">
debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth success
debug: pan_auth_response_process(pan_auth_state_engine.c:4336): Authentication success: <profile: "LDAP-Auth", vsys: "vsys1", username "ldapuser">
authenticated for user 'ldapuser'.   auth profile 'LDAP-Local-Auth-Seq', vsys 'vsys1', server profile 'DC1.AAVNI.COM', server address '172.16.3.10', From: 172.16.0.11.  <<<<<<<<<< user “ldapuser” is authenticated against the LDAP-Auth profile
 
  • Authentifizierungsprotokolle bei Verwendung lokaler DB Anmeldeinformationen.
debug: authd_sysd_profile_domain_callback(pan_auth_sysd.c:1018): get domain for vsys1/LDAP-Local-Auth-Seq
debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "LDAP-Auth", vsys "vsys1" (method: LDAP (active directory)) has sso hash table id: 0 (0 means no or invalid keytab)
debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "Local-Auth", vsys "vsys1" (method: local) has sso hash table id: 0 (0 means no or invalid keytab)
debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "localuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158353
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "localuser" ; auth  profile "LDAP-Local-Auth-Seq" ; vsys "vsys1"
debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (LDAP-Local-Auth-Seq/vsys1) is auth sequence
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "localuser" with <profile: "LDAP-Auth", vsys: "vsys1">, which is Auth Profile 1 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1">
Error:  _parse_ldap_bind_result(pan_authd_shared_ldap.c:282): bind failed (extracted from parsed bind result) (code: 49) (string: Invalid credentials) (additional info: 80090308: LdapErr: DSID-0C09041C, comment: AcceptSecurityContext error, data 57, v4563)
Error:  _parse_ldap_bind_result(pan_authd_shared_ldap.c:286): wrong password was provided
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1243): User "localuser" is REJECTED (msgid = 25, LDAPp=0x555557cea870)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1326): binding back to binddn: CN=PaloAlto Service Account,CN=Managed Service Accounts,DC=AAVNI,DC=COM (Try 1)
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:634): binding with binddn CN=PaloAlto Service Account,CN=Managed Service Accounts,DC=AAVNI,DC=COM
debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth failed
     <<<<<<<<<<<<<<<<  Failed for LDAP-Auth since user trying to authenticate is not part of LDAP user group 
debug: pan_auth_response_process(pan_auth_state_engine.c:4465): Auth sequence, start to try next auth profile: <profile: "Local-Auth", vsys: "vsys1"> for user "localuser"
debug: pan_auth_request_process(pan_auth_state_engine.c:3375): Receive request: msg type PAN_AUTH_REQ_REMOTE_INIT_AUTH, conv id 76, body length 2448
debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "localuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158353
debug: _authenticate_initial(pan_auth_state_engine.c:2491): Using auth sequence, copying original username localuser into request
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "localuser" ; auth sequence profile "LDAP-Local-Auth-Seq" ; vsys "vsys1"
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "localuser" with <profile: "Local-Auth", vsys: "vsys1">, which is Auth Profile 2 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1">
debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth success
debug: pan_auth_response_process(pan_auth_state_engine.c:4336): Authentication success: <profile: "Local-Auth", vsys: "vsys1", username "localuser">
authenticated for user 'localuser'.   auth profile 'LDAP-Local-Auth-Seq', vsys 'vsys1', From: 172.16.0.11.  <<<<<<<<<<<< user name "localuser" got authenticated with Local-Auth which is second in the list on Auth Sequence.
 


 



 


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBEPCA4&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language