L’ajout de certificats pour PAN-OS l’agent utilisateurID intégré WinRM sur HTTPS la connexion peut entraîner l’échec des connexions de l’Agent Terminal Server.
Symptom
Ajout des certificats requis pour PAN-OS L’agent utilisateurID intégré WinRM sur HTTPS le protocole de transport provoque l’échec des connexions de l’agent Terminal Server si les agents Terminal Server n’utilisent pas de certificats signés par un inclus dans le profil de CA certificat , ce qui entraîne une panne.
ID Les journaux de l’utilisateur affichent les firewall erreurs suivantes :
2022-09-30 10:55:45.339 -0700 Erreur : pan_ssl_conn_open(pan_ssl_utils.c:843) : Erreur : Impossible de se connecter à 10.x.x.x(source : 10.y.y.y), SSL erreur : erreur : 00000000:lib(0):func(0):reason(0)(0)
Dans le journal des erreurs, il affiche deux IP adresses. La première IP adresse (dans l’exemple ci-dessus 10.x.x.x) est l’adresse de IP l’agent Terminal Server. La deuxième IP adresse (dans l’exemple ci-dessus 10.y.y.y) est l’adresse firewallde IP .
Environment
Firewall/Panorama exécutant la PAN-OS version 10.0 et ultérieure
Agent PAN-OS utilisateur intégré AgentID
Terminal Server
Cause
À partir de la version 10.0, les clients ont la PAN-OS possibilité d’ajouter des certificats pour une communication sécurisée entre les pare-feu et les agents. Toutefois, le profil de certificat sur le firewall est partagé entre l’agent utilisateurID et l’agent Terminal Server.
Ainsi, lorsque vous ajoutez des certificats pour PAN-OS la connexion WinRM HTTPS de l’utilisateur intégré à l’agent, le profil de certificat affecte également la connexion avec l’Agent Terminal Server et la connexion àID l’Agent Terminal Server échoue si le certificat ne peut pas être vérifié.
Resolution
- En raison du comportement attendu de l’agent utilisateurID et de l’agent Terminal Server partageant un profil de certificat, une façon d’éviter cela consiste à faire signer le certificat de l’agent Terminal Server par le même certificat racine CA spécifié dans le profil de certificat sur le firewall.
- Voir l’étape 4 (facultative) de la documentation : Configurer l’agent Palo Alto Networks Terminal Server (TS) pour le mappage utilisateur
- Basculez l’agent utilisateurID pour utiliser WinRM sur HTTP. Cette méthode ne nécessite pas l’utilisation d’un certificat et ne nécessite donc pas de profil de certificat.