GlobalProtectローカル アカウントとアカウントを操作するための認証シーケンスを使用する方法 LDAP
33273
Created On 10/16/20 20:42 PM - Last Modified 07/11/24 18:45 PM
Objective
- この記事は、 GlobalProtect 顧客が認証シーケンスでローカル アカウントおよびアカウントを操作するように構成する場合に役立つように設計されています LDAP 。
Environment
- パロ ・ アルトのネットワーク Firewall
- LDAP ローカル ユーザー データベース認証プロファイル
Procedure
- [追加] を選択して、デバイス >認証シーケンスに移動して認証 シーケンスを構成>、認証プロファイルを追加します。
注: パロアルトネットワーク firewall スは SAML 認証シーケンスでの認証をサポートしていません。
- [ ネットワーク GlobalProtect >> ポータル> [ポータル>認証>クライアント認証を選択] タブで、既存の認証を変更するか、クライアント認証を追加し、[認証プロファイル] の手順 1 で作成された認証シーケンスを選択して、[ OK
- GlobalProtectゲートウェイ設定 ([クライアント認証] タブ) についても同じ手順を繰り返します。
- での変更をコミット Firewall します。
- GlobalProtect App 認証プロファイルの手順 1 で作成した認証シーケンスを使用して接続してみます。
Additional Information
- 認証シーケンスは、 firewall ユーザーがログインするときにユーザーを認証するために使用する認証プロファイルのセットです。
- プロファイルは firewall 、リストの先頭から下側の認証を順次試行し、1 つのプロファイルがユーザーを正常に認証するまで認証を行います。
- firewallシーケンス内のすべてのプロファイルが認証に失敗した場合、アクセスを拒否する場合のみ。
- 例えば:
- ユーザー "ldapuser" がサーバユーザグループに存在する場合 LDAP 、認証プロファイルに対して LDAP 認証されます。
- ユーザー "localuser" がローカルの一部である場合 DB 、最初に認証プロファイルに対する認証を試み LDAP (ユーザーは存在しません)、次にローカル認証プロファイルにフォールバックして認証を受けます。
- ユーザー"ldapuser"が LDAP ユーザグループとローカルの両方に存在 DB する場合、認証プロファイルに対して LDAP 認証されます。 DB LDAP サーバーが応答しないか、またはダウンしている場合にのみ、ローカル認証プロファイルにフォールバックします。
- 認証情報を使用している間に、認証ログ LDAP を記録します。
debug: authd_sysd_profile_domain_callback(pan_auth_sysd.c:1018): get domain for vsys1/LDAP-Local-Auth-Seq <<<<<<<<<<<<<Auth sequence debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "LDAP-Auth", vsys "vsys1" (method: LDAP (active directory)) has sso hash table id: 0 (0 means no or invalid keytab) <<<<<<<<< LDAP-Authentication on top of the list debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "Local-Auth", vsys "vsys1" (method: local) has sso hash table id: 0 (0 means no or invalid keytab) <<<<<<<<<<<< Local Authentication second in the list debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "ldapuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158348 debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "ldapuser" ; auth profile "LDAP-Local-Auth-Seq" ; vsys "vsys1" debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (LDAP-Local-Auth-Seq/vsys1) is auth sequence debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:628): This is a single vsys platform, group check for allow list is performed on "vsys1" debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "ldapuser" with <profile: "LDAP-Auth", vsys: "vsys1">, which is Auth Profile 1 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1"> debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth success debug: pan_auth_response_process(pan_auth_state_engine.c:4336): Authentication success: <profile: "LDAP-Auth", vsys: "vsys1", username "ldapuser"> authenticated for user 'ldapuser'. auth profile 'LDAP-Local-Auth-Seq', vsys 'vsys1', server profile 'DC1.AAVNI.COM', server address '172.16.3.10', From: 172.16.0.11. <<<<<<<<<< user “ldapuser” is authenticated against the LDAP-Auth profile
- ローカル資格情報を使用している間の認証ログ DB 。
debug: authd_sysd_profile_domain_callback(pan_auth_sysd.c:1018): get domain for vsys1/LDAP-Local-Auth-Seq debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "LDAP-Auth", vsys "vsys1" (method: LDAP (active directory)) has sso hash table id: 0 (0 means no or invalid keytab) debug: pan_auth_cache_get_authprof_info(pan_auth_cache_authprof_n_authseqprof.c:176): prof "Local-Auth", vsys "vsys1" (method: local) has sso hash table id: 0 (0 means no or invalid keytab) debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "localuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158353 debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "localuser" ; auth profile "LDAP-Local-Auth-Seq" ; vsys "vsys1" debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (LDAP-Local-Auth-Seq/vsys1) is auth sequence debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "localuser" with <profile: "LDAP-Auth", vsys: "vsys1">, which is Auth Profile 1 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1"> Error: _parse_ldap_bind_result(pan_authd_shared_ldap.c:282): bind failed (extracted from parsed bind result) (code: 49) (string: Invalid credentials) (additional info: 80090308: LdapErr: DSID-0C09041C, comment: AcceptSecurityContext error, data 57, v4563) Error: _parse_ldap_bind_result(pan_authd_shared_ldap.c:286): wrong password was provided Error: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1243): User "localuser" is REJECTED (msgid = 25, LDAPp=0x555557cea870) debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1326): binding back to binddn: CN=PaloAlto Service Account,CN=Managed Service Accounts,DC=AAVNI,DC=COM (Try 1) debug: pan_authd_ldap_bind(pan_authd_shared_ldap.c:634): binding with binddn CN=PaloAlto Service Account,CN=Managed Service Accounts,DC=AAVNI,DC=COM debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth failed <<<<<<<<<<<<<<<< Failed for LDAP-Auth since user trying to authenticate is not part of LDAP user group debug: pan_auth_response_process(pan_auth_state_engine.c:4465): Auth sequence, start to try next auth profile: <profile: "Local-Auth", vsys: "vsys1"> for user "localuser" debug: pan_auth_request_process(pan_auth_state_engine.c:3375): Receive request: msg type PAN_AUTH_REQ_REMOTE_INIT_AUTH, conv id 76, body length 2448 debug: _authenticate_initial(pan_auth_state_engine.c:2387): Trying to authenticate (init auth): <profile: "LDAP-Local-Auth-Seq", vsys: "vsys1", policy: "", username "localuser"> ; timeout setting: 115 secs ; authd id: 6880508432479158353 debug: _authenticate_initial(pan_auth_state_engine.c:2491): Using auth sequence, copying original username localuser into request debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "localuser" ; auth sequence profile "LDAP-Local-Auth-Seq" ; vsys "vsys1" debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1833): Authenticating user "localuser" with <profile: "Local-Auth", vsys: "vsys1">, which is Auth Profile 2 of 2 in <sequence "LDAP-Local-Auth-Seq", vsys "vsys1"> debug: pan_auth_response_process(pan_auth_state_engine.c:4315): auth status: auth success debug: pan_auth_response_process(pan_auth_state_engine.c:4336): Authentication success: <profile: "Local-Auth", vsys: "vsys1", username "localuser"> authenticated for user 'localuser'. auth profile 'LDAP-Local-Auth-Seq', vsys 'vsys1', From: 172.16.0.11. <<<<<<<<<<<< user name "localuser" got authenticated with Local-Auth which is second in the list on Auth Sequence.
- 認証プロファイルとシーケンスの詳細については、以下のリンクを参照してください。