Verwenden der Authentifizierungssequenz für GlobalProtect die Arbeit mit lokalen Konten und LDAP Konten

• Dieser Artikel soll Kunden bei der Konfiguration für GlobalProtect die Arbeit mit lokalen Konten und Konten LDAP mit einer Authentifizierungssequenz unterstützen.

• Palo Alto Networks Firewall
• LDAP und Authentifizierungsprofile für lokale Benutzerdatenbanken

1. Konfigurieren Sie die Authentifizierungssequenz und fügen Sie die Authentifizierungsprofile hinzu, indem Sie zu Device > Authentication Sequence navigieren > Wählen Sie "Hinzufügen"

2. Wählen Sie unter Netzwerk > > GlobalProtect Portale > Wählen Sie Portal > Authentifizierung > Registerkarte Clientauthentifizierungaus, ändern Sie eine vorhandene Authentifizierung oder fügen Sie eine Clientauthentifizierung hinzu, wählen Sie die in Schritt 1 unter Authentifizierungsprofil erstellte Authentifizierungssequenz aus, und wählen Sie OK

3. Wiederholen Sie dasselbe für GlobalProtect die Gatewaykonfiguration (Registerkarte Clientauthentifizierung).

4. Übernehmen Sie die Änderungen an Firewall der .
5. Versuchen Sie, die GlobalProtect App Verbindung mit der Authentifizierungssequenz herzustellen, die in Schritt 1 unter Authentifizierungsprofil erstellt wurde.
    

• Eine Authentifizierungssequenz ist ein Satz von Authentifizierungsprofilen, die firewall zum Authentifizieren von Benutzern verwendet werden, wenn sie sich anmelden.
• Der firewall versucht die Profile sequenziell vom Anfang der Liste nach unten und wendet die Authentifizierung für jedes Profil an, bis ein Profil den Benutzer erfolgreich authentifiziert.
• Der firewall Zugriff wird nur verweigert, wenn alle Profile in der Sequenz nicht authentifiziert werden können.
• Zum Beispiel:

1. Wenn der Benutzer "ldapuser" in der LDAP Serverbenutzergruppe vorhanden ist, wird er anhand des LDAP Authentifizierungsprofils authentifiziert.
2. Wenn der Benutzer "localuser" Teil von Local DB ist, versucht er zuerst, sich gegen LDAP das Authentifizierungsprofil zu authentifizieren (Benutzer ist nicht vorhanden), und dann fällt er auf das lokale Authentifizierungsprofil zurück und wird authentifiziert.
3. Wenn Benutzer "ldapuser" sowohl in der Benutzergruppe als auch in Lokal vorhanden LDAP DB ist, authentifiziert er sich beim LDAP Authentifizierungsprofil. Es wird nur dann auf das lokale DB Authentifizierungsprofil zurückfallen, wenn LDAP der Server nicht reagiert oder ausfällt.

• Authentifizierungsprotokolle bei Verwendung von LDAP Anmeldeinformationen.

debug: authd_sysd_profile_domain_callback(pan_auth_sysd.c:1018): get domain for vsys1/LDAP-Local-Auth-Seq  <<<<<<<<<<<<<Auth sequence
debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "LDAP-Auth", vsys "vsys1" (method: LDAP (active directory)) has sso hash table id: 0 (0 means no or invalid keytab)  <<<<<<<<< LDAP-Authentication on top of the list
debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "Local-Auth", vsys "vsys1" (method: local) has sso hash table id: 0 (0 means no or invalid keytab)  <<<<<<<<<<<< Local Authentication second in the list
debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "ldapuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158348
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "ldapuser" ; auth  profile "LDAP-Local-Auth-Seq" ; vsys "vsys1"
debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (LDAP-Local-Auth-Seq/vsys1) is auth sequence
debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:628): This is a single vsys platform, group check for allow list is performed on "vsys1"
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "ldapuser" with <profile: "LDAP-Auth", vsys: "vsys1">, which is Auth Profile 1 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1">
debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth success
debug: pan_auth_response_process(pan_auth_state_engine.c:4336): Authentication success: <profile: "LDAP-Auth", vsys: "vsys1", username "ldapuser">
authenticated for user 'ldapuser'.   auth profile 'LDAP-Local-Auth-Seq', vsys 'vsys1', server profile 'DC1.AAVNI.COM', server address '172.16.3.10', From: 172.16.0.11.  <<<<<<<<<< user “ldapuser” is authenticated against the LDAP-Auth profile

• Authentifizierungsprotokolle bei Verwendung lokaler DB Anmeldeinformationen.

debug: authd_sysd_profile_domain_callback(pan_auth_sysd.c:1018): get domain for vsys1/LDAP-Local-Auth-Seq
debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "LDAP-Auth", vsys "vsys1" (method: LDAP (active directory)) has sso hash table id: 0 (0 means no or invalid keytab)
debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "Local-Auth", vsys "vsys1" (method: local) has sso hash table id: 0 (0 means no or invalid keytab)
debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "localuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158353
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "localuser" ; auth  profile "LDAP-Local-Auth-Seq" ; vsys "vsys1"
debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (LDAP-Local-Auth-Seq/vsys1) is auth sequence
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "localuser" with <profile: "LDAP-Auth", vsys: "vsys1">, which is Auth Profile 1 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1">
Error:  _parse_ldap_bind_result(pan_authd_shared_ldap.c:282): bind failed (extracted from parsed bind result) (code: 49) (string: Invalid credentials) (additional info: 80090308: LdapErr: DSID-0C09041C, comment: AcceptSecurityContext error, data 57, v4563)
Error:  _parse_ldap_bind_result(pan_authd_shared_ldap.c:286): wrong password was provided
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1243): User "localuser" is REJECTED (msgid = 25, LDAPp=0x555557cea870)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1326): binding back to binddn: CN=PaloAlto Service Account,CN=Managed Service Accounts,DC=AAVNI,DC=COM (Try 1)
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:634): binding with binddn CN=PaloAlto Service Account,CN=Managed Service Accounts,DC=AAVNI,DC=COM
debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth failed
     <<<<<<<<<<<<<<<<  Failed for LDAP-Auth since user trying to authenticate is not part of LDAP user group 
debug: pan_auth_response_process(pan_auth_state_engine.c:4465): Auth sequence, start to try next auth profile: <profile: "Local-Auth", vsys: "vsys1"> for user "localuser"
debug: pan_auth_request_process(pan_auth_state_engine.c:3375): Receive request: msg type PAN_AUTH_REQ_REMOTE_INIT_AUTH, conv id 76, body length 2448
debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "localuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158353
debug: _authenticate_initial(pan_auth_state_engine.c:2491): Using auth sequence, copying original username localuser into request
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "localuser" ; auth sequence profile "LDAP-Local-Auth-Seq" ; vsys "vsys1"
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "localuser" with <profile: "Local-Auth", vsys: "vsys1">, which is Auth Profile 2 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1">
debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth success
debug: pan_auth_response_process(pan_auth_state_engine.c:4336): Authentication success: <profile: "Local-Auth", vsys: "vsys1", username "localuser">
authenticated for user 'localuser'.   auth profile 'LDAP-Local-Auth-Seq', vsys 'vsys1', From: 172.16.0.11.  <<<<<<<<<<<< user name "localuser" got authenticated with Local-Auth which is second in the list on Auth Sequence.

• Weitere Informationen zu den Authentifizierungsprofilen und der Reihenfolge finden Sie unter den folgenden Links:
  • Definieren der GlobalProtect Clientauthentifizierungskonfigurationen

• Konfigurieren eines Authentifizierungsprofils und einer Sequenz