Comment utiliser la séquence d’authentification pour GlobalProtect travailler avec des comptes et des comptes locaux LDAP
33273
Created On 10/16/20 20:42 PM - Last Modified 07/11/24 18:45 PM
Objective
- Cet article est conçu pour aider les clients à configurer GlobalProtect pour travailler avec des comptes locaux et des comptes avec une séquence LDAP d’authentification.
Environment
- Palo Alto Networks Firewall
- LDAP et profils d’authentification de base de données utilisateur locale
Procedure
- Configurez la séquence d’authentification et ajoutez les profils d’authentification en accédant à la séquence d’authentification de > de périphérique > sélectionnez « Ajouter »
Remarque : Palo Alto Networks firewall ne prend pas en charge SAML l’authentification sur la séquence d’authentification.
- Sous GlobalProtect Portails > > réseau > sélectionnez l’onglet Authentification du portail > > du client,modifiez une authentification client existante ou ajoutez-la et sélectionnez la séquence d’authentification créée à l’étape 1 sous Profil d’authentification et sélectionnez OK
- Répétez la même chose pour GlobalProtect la configuration de la passerelle (onglet Authentification du client).
- Validez les modifications sur le Firewall fichier .
- Essayez de vous connecter GlobalProtect App à l’aide de la séquence d’authentification créée à l’étape 1 sous Profil d’authentification.
Additional Information
- Une séquence d’authentification est un ensemble de profils d’authentification que le firewall tente d’utiliser pour authentifier les utilisateurs lorsqu’ils se connectent.
- Le firewall essaie les profils séquentiellement du haut de la liste au bas-appliquant l’authentification pour chaque-jusqu’à ce qu’un profil authentifie avec succès l’utilisateur.
- Le firewall seul refuse l’accès si tous les profils de la séquence ne parviennent pas à s’authentifier.
- Par exemple:
- Si l’utilisateur « ldapuser » est présent dans le LDAP groupe d’utilisateurs de serveur alors il obtiendra authentifié contre le LDAP profil d’authentification.
- Si l’utilisateur « localuser » fait partie de DB Local, il essaiera d’abord de s’authentifier auprès du LDAP profil d’authentification (l’utilisateur n’existe pas), puis il reviendra au profil d’authentification local et sera authentifié.
- Si l’utilisateur « ldapuser » existe dans le LDAP groupe d’utilisateurs et le local DB alors il s’authentifie contre le LDAP profil d’authentification. Il ne revient au profil d’authentification local que DB si le serveur ne répond pas ou LDAP n’est pas arrêté.
- Journaux d’authentification lors de l’utilisation LDAP des informations d’identification.
debug: authd_sysd_profile_domain_callback(pan_auth_sysd.c:1018): get domain for vsys1/LDAP-Local-Auth-Seq <<<<<<<<<<<<<Auth sequence debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "LDAP-Auth", vsys "vsys1" (method: LDAP (active directory)) has sso hash table id: 0 (0 means no or invalid keytab) <<<<<<<<< LDAP-Authentication on top of the list debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "Local-Auth", vsys "vsys1" (method: local) has sso hash table id: 0 (0 means no or invalid keytab) <<<<<<<<<<<< Local Authentication second in the list debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "ldapuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158348 debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "ldapuser" ; auth profile "LDAP-Local-Auth-Seq" ; vsys "vsys1" debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (LDAP-Local-Auth-Seq/vsys1) is auth sequence debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:628): This is a single vsys platform, group check for allow list is performed on "vsys1" debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "ldapuser" with <profile: "LDAP-Auth", vsys: "vsys1">, which is Auth Profile 1 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1"> debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth success debug: pan_auth_response_process(pan_auth_state_engine.c:4336): Authentication success: <profile: "LDAP-Auth", vsys: "vsys1", username "ldapuser"> authenticated for user 'ldapuser'. auth profile 'LDAP-Local-Auth-Seq', vsys 'vsys1', server profile 'DC1.AAVNI.COM', server address '172.16.3.10', From: 172.16.0.11. <<<<<<<<<< user “ldapuser” is authenticated against the LDAP-Auth profile
- Journaux d’authentification lors de l’utilisation DB des informations d’identification locales.
debug: authd_sysd_profile_domain_callback(pan_auth_sysd.c:1018): get domain for vsys1/LDAP-Local-Auth-Seq debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "LDAP-Auth", vsys "vsys1" (method: LDAP (active directory)) has sso hash table id: 0 (0 means no or invalid keytab) debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "Local-Auth", vsys "vsys1" (method: local) has sso hash table id: 0 (0 means no or invalid keytab) debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "localuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158353 debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "localuser" ; auth profile "LDAP-Local-Auth-Seq" ; vsys "vsys1" debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (LDAP-Local-Auth-Seq/vsys1) is auth sequence debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "localuser" with <profile: "LDAP-Auth", vsys: "vsys1">, which is Auth Profile 1 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1"> Error: _parse_ldap_bind_result(pan_authd_shared_ldap.c:282): bind failed (extracted from parsed bind result) (code: 49) (string: Invalid credentials) (additional info: 80090308: LdapErr: DSID-0C09041C, comment: AcceptSecurityContext error, data 57, v4563) Error: _parse_ldap_bind_result(pan_authd_shared_ldap.c:286): wrong password was provided Error: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1243): User "localuser" is REJECTED (msgid = 25, LDAPp=0x555557cea870) debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1326): binding back to binddn: CN=PaloAlto Service Account,CN=Managed Service Accounts,DC=AAVNI,DC=COM (Try 1) debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:634): binding with binddn CN=PaloAlto Service Account,CN=Managed Service Accounts,DC=AAVNI,DC=COM debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth failed <<<<<<<<<<<<<<<< Failed for LDAP-Auth since user trying to authenticate is not part of LDAP user group debug: pan_auth_response_process(pan_auth_state_engine.c:4465): Auth sequence, start to try next auth profile: <profile: "Local-Auth", vsys: "vsys1"> for user "localuser" debug: pan_auth_request_process(pan_auth_state_engine.c:3375): Receive request: msg type PAN_AUTH_REQ_REMOTE_INIT_AUTH, conv id 76, body length 2448 debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "localuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158353 debug: _authenticate_initial(pan_auth_state_engine.c:2491): Using auth sequence, copying original username localuser into request debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "localuser" ; auth sequence profile "LDAP-Local-Auth-Seq" ; vsys "vsys1" debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "localuser" with <profile: "Local-Auth", vsys: "vsys1">, which is Auth Profile 2 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1"> debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth success debug: pan_auth_response_process(pan_auth_state_engine.c:4336): Authentication success: <profile: "Local-Auth", vsys: "vsys1", username "localuser"> authenticated for user 'localuser'. auth profile 'LDAP-Local-Auth-Seq', vsys 'vsys1', From: 172.16.0.11. <<<<<<<<<<<< user name "localuser" got authenticated with Local-Auth which is second in the list on Auth Sequence.
- Vous pouvez en savoir plus sur les profils et la séquence d’authentification sur les liens ci-dessous :