Useridd-Protokolle zeigen "UIA Credentail-Fehler: Anmeldeinformationen aktiviert, aber kein Digest" an.
7844
Created On 03/12/23 21:51 PM - Last Modified 10/21/24 19:24 PM
Symptom
- Nachdem Sie den Filter für Domänenanmeldeinformationen mithilfe des User-ID-Anmeldeinformationsagenten in der Firewall aktiviert haben, bemerken Sie möglicherweise einen konstanten Fehler unter useridd.log (weniger mp-log useridd.log) als " Credentail-Fehler: Anmeldeinformationen aktiviert, aber kein Digest"
>tail follow yes mp-log useridd.log 0500 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10881): UIA Credentail error: credential enabled but no digest. 0500 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10881): UIA Credentail error: credential enabled but no digest. - Der Status des User-ID-Agents in der Firewall zeigt " Status der Erzwingung von Anmeldeinformationen: Aktiviert und Ausstehend" an.
>show user user-id-agent state Credentail Agent: Credentail(vsys: vsys1) Host: 172.16.3.253(172.16.3.253):5007 Status : conn:idle Version : 0x5 SSL config : Default certificates num of connection tried : 4 num of connection succeeded : 4 num of connection failed : 0 num of status msgs rcvd : 216 num of request of status msgs sent : 216 .....(Output Omitted)..... Failed to send messages : 0 Failed to enqueue messages : 0 Queued sending msgs with priority 0 : 0 Queued sending msgs with priority 1 : 0 Queued rcvring msgs with priority 0 : 0 Queued rcvring msgs with priority 1 : 0 Credential Enforcement Status : Enabled and Pending Last BF digest received(seconds ago) : 929 Last BF request sent(seconds ago) : 1124 Last BF updated(seconds ago) : 1124 Current BF digest : 211700230e5bce5a1aac4bed92c254c6 - Unter den UaCredDebug-Protokollen (C:\Program Files\Palo Alto Networks\User-Id Credential Agent) werden " Fehler beim Binden an den LDAP-Server " und "Kein DN angegeben" angezeigt. Nicht erfrischend" ständig
[Error 542]: ldap_connect(_uidsvc@AAVNI.NET) return(49) : ÐàÝ [Error 1073]: pan_ldap_bind() failed [Debug 1096]: Disconnect ldap from '127.0.0.1' [Error 1880]: ldap connect failed: HàÝ [Error 1689]: Failed to bind to LDAP server [ Warn 613]: No DN specified. Not refreshing. [Error 696]: Failed to update user list [Debug 798]: Parsing message... [Debug 873]: Received request for BF. [ Info 667]: Sent BF to UaService. 0829f71740aab1ab98b33eae21dee122 [ Warn 613]: No DN specified. Not refreshing. [Error 696]: Failed to update user list [ Warn 613]: No DN specified. Not refreshing. [Error 696]: Failed to update user list [ Warn 613]: No DN specified. Not refreshing. [Error 696]: Failed to update user list - Beim Beenden des User-ID-Anmeldeinformations-Agent-Diensts auf RODC erhalten wir die Meldung "Fehler 1067: Der Prozess wurde unerwartet beendet".
Environment
- Palo Alto Firewalls
- Unterstütztes PAN-OS
- User-ID-Agent
- Agent für Benutzer-ID-Anmeldeinformationen
- Microsoft RODC
Cause
- Basierend auf den obigen Protokollen wurde das Problem dadurch verursacht, dass das Dienstkonto deaktiviert oder gesperrt wurde
- "ldap_connect(_uidsvc@AAVNI.NET) return(49)" Fehler aufgrund des Distinguished Name (DN) oder des Kennworts ist ungültig
Resolution
- Überprüfen Sie, ob das Dienstkonto deaktiviert oder gesperrt ist. Im folgenden BenutzerID-Dienstkonto können wir sehen, dass das Konto gesperrt wurde
- Entsperren des Dienstkontos, wenn es gesperrt ist
- Aktivieren Sie das Konto, wenn es deaktiviert ist