Comment résoudre l’échec des connexions gRPC entre le pare-feu et le service Edge d’ID utilisateur

Comment résoudre l’échec des connexions gRPC entre le pare-feu et le service Edge d’ID utilisateur

13511
Created On 08/06/24 21:29 PM - Last Modified 11/25/25 23:56 PM


Objective



Comment résoudre l’échec des connexions entre le pare-feu et le service Edge d’ID utilisateur.

Environment


  • Pare-feu Palo Alto
  • PAN-OS 11.0 et versions ultérieures.
  • ICD (démon client d’identité)
  • Service d’ID utilisateur Edge
  • CIE (Cloud Identity Engine)

Procedure


  1. Vérifiez qu’un certificat de périphérique est valide et présent sur l’état du certificat de périphérique FW.show 
    show device-certificate status
  2. Vérifiez la configuration du pare-feu. Accédez à Configuration > gestion de l’appareil > sous les paramètres du service Edge PAN-OS, assurez-vous que la case « Activer le service cloud de contexte utilisateur » est cochée si vous souhaitez utiliser la fonctionnalité de redistribution de l’ID utilisateur cloud.
    1. Service cloud de contexte utilisateur
  3. Vérifiez la configuration de l’itinéraire de service de la fonctionnalité d’ID utilisateur cloud. Accédez à Configuration de l’appareil > > Services, puis sous Configuration de l’itinéraire de service , recherchez « iot ».La fonctionnalité de redistribution de l’ID utilisateur cloud utilise l’itinéraire de service IoT.
    1. Route du service d’ID utilisateur cloud
       
  4. Résoudre les problèmes de connexion entre le plan de gestion du pare-feu (MP) et le service d’ID utilisateur Edge :
    1. Utilisez la commande CLI : 
      > show cloud-userid config-details
      Un exemple de cette sortie est présenté ci-dessous : 
      > show cloud-userid config-details
Cloud UserID: enabled
Connection: disconnected
    2. Pour plus d’informations sur la connexion au serveur d’ID utilisateur Edge, utilisez la commande CLI : 
      > show cloud-userid statistics
      Un exemple de cette sortie est présenté ci-dessous : 
      > show cloud-userid statistics
Summary of CUID gRPC client:
number of connection reset:       38700
number of connection failed:      8
number of connection established: 38702
number of connection attempts:    38711
number of connection released:    38702
number of connection selected:    38700
number of selections failed:      43891
number of bytes sent:             1122249
number of bytes received:         0
Last gRPC connection Attempt:     2024-07-31 06:50:03 -0400 EDT
Last successful gRPC connection:  2024-07-31 06:49:58 -0400 EDT
Cloud user-id URL:                identity.services-dge.paloaltonetworks.com
Source Address:                   192.168.5.3
Destination Address:              34.136.155.117:443
Device cert status: Installed
	Validity: 
		Notbefore: 2024-07-29 01:09:23 +0000 UTC 
		Notafter: 2024-10-27 01:09:22 +0000 UTC
max gRPC connections: 1, ongoing: 1, max alive time: unlimited, max bytes sent: unlimited
Cloud user-id connection: disconnected
UPLOAD:
IP User Mappings:         0
IP Port User Mappings:    0
IP Tags:                  0
User Tags:                0
IP Host(Quarantine List): 0
DOWNLOAD:
IP User Mappings:         0
IP Port User Mappings:    0
IP Tags:                  0
User Tags:                0
IP Host(Quarantine List): 0
    3. Vérifiez la connexion réseau entre l’itinéraire du service IoT du pare-feu, l’adresse IP source et le nom de domaine complet de destination du serveur d’ID utilisateur Edge :  
      > traceroute host identity.services-edge.paloaltonetworks.com
       
      1. Remarque : Cette commande est valide dans le cas où Gestion ou Par défaut est utilisé comme itinéraire de service IoT, sinon ajoutez la source à la commande suivie de l’adresse IP de l’interface de plan de données utilisée comme itinéraire de service.  
        > traceroute source <IP address of the IoT service route dataplane interface> host identity.services-edge.paloaltonetworks.com
    4. Vérifiez netstat sur le serveur d’ID utilisateur Edge : 
      show netstat numeric-ports yes numeric-hosts yes | match <IP address of the Edge user-id server>
    5. Assurez-vous qu’aucun périphérique ou règle de pare-feu ne bloque la connexion au serveur d’ID utilisateur Edge sur le port 443.
    6. Vérifiez les journaux système du pare-feu liés à cette connexion : 
      > show log system direction equal backward subtype equal cuid-connection
    7. En dernier recours et si vous devez redémarrer la connexion entre le FW et le serveur d’ID utilisateur Edge, utilisez la commande CLI : 
      > debug cloud-userid reset-connection


        
      
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDq6CAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language