Agregar certificados para PAN-OS WinRM de agente de usuarioID integrado a través de la conexión puede provocar un error en las conexiones del Agente de HTTPS Terminal Server.
Symptom
Agregar los certificados necesarios para cualquiera de los dos PAN-OS WinRM de agente de usuario integrado a través del protocolo de transporte hace que las conexiones del agente de Terminal Server fallen si los agentes de Terminal Server no utilizan certificados firmados por un CA incluido en el perfil deHTTPS certificado, lo que provoca una interrupción.ID
User-ID inicia sesión en el firewall muestra los siguientes errores:
2022-09-30 10:55:45.339 -0700 Error: pan_ssl_conn_open(pan_ssl_utils.c:843): Error: Error al conectarse a 10.x.x.x(fuente: 10.y.y.y SSL ), error: error:00000000:lib(0):func(0):reason(0)(0)
En el registro de errores muestra dos IP direcciones. La primera IP dirección (en el ejemplo anterior 10.x.x.x) es la dirección del agente de IP Terminal Server. La segunda IP dirección (en el ejemplo anterior 10.y.y.y) es la firewalldirección de IP .
Environment
Firewall/Panorama con versión PAN-OS 10.0 y superior
PAN-OS Agente de usuarioID integrado
Agente de Terminal Server
Cause
A partir de la versión 10.0, los clientes tienen la capacidad de PAN-OS agregar certificados para una comunicación segura entre firewalls y agentes. Sin embargo, el perfil de certificado en el se comparte entre el agente deID usuario y el firewall agente de Terminal Server.
Por lo tanto, al agregar certificados para PAN-OS la conexión WinRM HTTPS integrada User-AgentID, el perfil de certificado también afectará a la conexión con el Agente de Terminal Server y la conexión al agente de Terminal Server fallará si no se puede comprobar el certificado.
Resolution
- Debido al comportamiento esperado de User-agentID y Terminal Server agent compartiendo un perfil de certificado, una forma de evitar que esto suceda es tener el certificado del agente de Terminal Server firmado por el mismo certificado raíz CA especificado en el perfil de cert en el firewall.
- Consulte el paso 4 (opcional) de la documentación: Configuración del agente de Terminal Server (TS) de Palo Alto Networks para la asignación de usuarios
- Cambie el agente de usuarioID para utilizar WinRM sobre HTTP. Este método no requiere el uso de un certificado y, por lo tanto, no requiere un perfil de certificado.