Cómo usar la secuencia de autenticación para GlobalProtect trabajar con cuentas locales y LDAP cuentas

• Este artículo está diseñado para ayudar a los clientes a configurar GlobalProtect para trabajar con cuentas locales y cuentas con una secuencia de LDAP autenticación.

• Palo Alto Networks Firewall
• LDAP y perfiles de autenticación de base de datos de usuario local

1. Configure la secuencia de autenticación y agregue los perfiles de autenticación navegando a la secuencia de autenticación de > de dispositivo > seleccione "Agregar"

2. En > de GlobalProtect red > Portales > Seleccione Autenticación de > de portal > ficha Autenticación de cliente, modifique una autenticación de cliente existente o agregue una y seleccione la secuencia de autenticación creada en el paso 1 en Perfil de autenticación y seleccione OK

3. Repita lo mismo para configuración GlobalProtect de puerta de enlace (ficha Autenticación de cliente).

4. Confirme los cambios en el Firewall archivo .
5. Intente conectar GlobalProtect App usando la secuencia de autenticación creada en el paso 1 bajo perfil de autenticación.
    

• Una secuencia de autenticación es un conjunto de perfiles de autenticación que firewall intenta utilizar para autenticar a los usuarios cuando inician sesión.
• El firewall intenta los perfiles secuencialmente desde la parte superior de la lista hasta la parte inferior aplicando la autenticación para cada uno hasta que un perfil autentica correctamente al usuario.
• El firewall solo deniega el acceso si todos los perfiles de la secuencia no se autentican.
• Por ejemplo:

1. Si el usuario "ldapuser" está presente en el grupo de usuarios del LDAP servidor, entonces se autenticará contra el LDAP perfil de autenticación.
2. Si el usuario "localuser" es parte de DB Local, primero intentará autenticarse contra LDAP el perfil de autenticación (el usuario no existe) y luego recurrirá al perfil de autenticación local y se autenticará.
3. Si el usuario "ldapuser" existe tanto en el grupo de usuarios como en LDAP DB el local, se autenticará contra el LDAP perfil de autenticación. Sólo se reservará al perfil de autenticación local DB si el servidor no responde o está en LDAP desoyado.

• Registros de autenticación mientras se usan LDAP credenciales.

debug: authd_sysd_profile_domain_callback(pan_auth_sysd.c:1018): get domain for vsys1/LDAP-Local-Auth-Seq  <<<<<<<<<<<<<Auth sequence
debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "LDAP-Auth", vsys "vsys1" (method: LDAP (active directory)) has sso hash table id: 0 (0 means no or invalid keytab)  <<<<<<<<< LDAP-Authentication on top of the list
debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "Local-Auth", vsys "vsys1" (method: local) has sso hash table id: 0 (0 means no or invalid keytab)  <<<<<<<<<<<< Local Authentication second in the list
debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "ldapuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158348
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "ldapuser" ; auth  profile "LDAP-Local-Auth-Seq" ; vsys "vsys1"
debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (LDAP-Local-Auth-Seq/vsys1) is auth sequence
debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:628): This is a single vsys platform, group check for allow list is performed on "vsys1"
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "ldapuser" with <profile: "LDAP-Auth", vsys: "vsys1">, which is Auth Profile 1 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1">
debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth success
debug: pan_auth_response_process(pan_auth_state_engine.c:4336): Authentication success: <profile: "LDAP-Auth", vsys: "vsys1", username "ldapuser">
authenticated for user 'ldapuser'.   auth profile 'LDAP-Local-Auth-Seq', vsys 'vsys1', server profile 'DC1.AAVNI.COM', server address '172.16.3.10', From: 172.16.0.11.  <<<<<<<<<< user “ldapuser” is authenticated against the LDAP-Auth profile

• Registros de autenticación mientras se usan DB credenciales locales.

debug: authd_sysd_profile_domain_callback(pan_auth_sysd.c:1018): get domain for vsys1/LDAP-Local-Auth-Seq
debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "LDAP-Auth", vsys "vsys1" (method: LDAP (active directory)) has sso hash table id: 0 (0 means no or invalid keytab)
debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "Local-Auth", vsys "vsys1" (method: local) has sso hash table id: 0 (0 means no or invalid keytab)
debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "localuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158353
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "localuser" ; auth  profile "LDAP-Local-Auth-Seq" ; vsys "vsys1"
debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (LDAP-Local-Auth-Seq/vsys1) is auth sequence
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "localuser" with <profile: "LDAP-Auth", vsys: "vsys1">, which is Auth Profile 1 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1">
Error:  _parse_ldap_bind_result(pan_authd_shared_ldap.c:282): bind failed (extracted from parsed bind result) (code: 49) (string: Invalid credentials) (additional info: 80090308: LdapErr: DSID-0C09041C, comment: AcceptSecurityContext error, data 57, v4563)
Error:  _parse_ldap_bind_result(pan_authd_shared_ldap.c:286): wrong password was provided
Error:  pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1243): User "localuser" is REJECTED (msgid = 25, LDAPp=0x555557cea870)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1326): binding back to binddn: CN=PaloAlto Service Account,CN=Managed Service Accounts,DC=AAVNI,DC=COM (Try 1)
debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:634): binding with binddn CN=PaloAlto Service Account,CN=Managed Service Accounts,DC=AAVNI,DC=COM
debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth failed
     <<<<<<<<<<<<<<<<  Failed for LDAP-Auth since user trying to authenticate is not part of LDAP user group 
debug: pan_auth_response_process(pan_auth_state_engine.c:4465): Auth sequence, start to try next auth profile: <profile: "Local-Auth", vsys: "vsys1"> for user "localuser"
debug: pan_auth_request_process(pan_auth_state_engine.c:3375): Receive request: msg type PAN_AUTH_REQ_REMOTE_INIT_AUTH, conv id 76, body length 2448
debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "localuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158353
debug: _authenticate_initial(pan_auth_state_engine.c:2491): Using auth sequence, copying original username localuser into request
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "localuser" ; auth sequence profile "LDAP-Local-Auth-Seq" ; vsys "vsys1"
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "localuser" with <profile: "Local-Auth", vsys: "vsys1">, which is Auth Profile 2 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1">
debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth success
debug: pan_auth_response_process(pan_auth_state_engine.c:4336): Authentication success: <profile: "Local-Auth", vsys: "vsys1", username "localuser">
authenticated for user 'localuser'.   auth profile 'LDAP-Local-Auth-Seq', vsys 'vsys1', From: 172.16.0.11.  <<<<<<<<<<<< user name "localuser" got authenticated with Local-Auth which is second in the list on Auth Sequence.

• Puede leer más sobre los perfiles de autenticación y la secuencia en los siguientes vínculos:
  • Defina las GlobalProtect configuraciones de autenticación del cliente

• Configurar un perfil de autenticación y una secuencia