Los registros de Useridd muestran "Error de UIA Credentail: credencial habilitada pero sin resumen"

7844

Created On 03/12/23 21:51 PM - Last Modified 10/21/24 19:24 PM

Symptom

Después de habilitar el filtro de credenciales de dominio mediante el agente de credenciales de ID de usuario en el firewall, puede observar un error constante en useridd.log (menos mp-log useridd.log) como " Credentail error: credential enabled but no digest"

>tail follow yes mp-log useridd.log
0500 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10881): UIA Credentail error: credential enabled but no digest.
0500 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10881): UIA Credentail error: credential enabled but no digest.

El estado del agente de ID de usuario en el firewall muestra " Estado de aplicación de credenciales: Habilitado y pendiente"

>show user user-id-agent state Credentail
Agent: Credentail(vsys: vsys1) Host: 172.16.3.253(172.16.3.253):5007
        Status                                            : conn:idle
        Version                                           : 0x5
        SSL config                                        : Default certificates
        num of connection tried                           : 4
        num of connection succeeded                       : 4
        num of connection failed                          : 0
        num of status msgs rcvd                           : 216
        num of request of status msgs sent                : 216
      .....(Output Omitted).....
          Failed to send messages                         : 0
          Failed to enqueue messages                      : 0
          Queued sending msgs with priority 0             : 0
          Queued sending msgs with priority 1             : 0
          Queued rcvring msgs with priority 0             : 0
          Queued rcvring msgs with priority 1             : 0
         Credential Enforcement Status : Enabled and Pending        
          Last BF digest received(seconds ago)            : 929
          Last BF request sent(seconds ago)               : 1124
          Last BF updated(seconds ago)                    : 1124
          Current BF digest : 211700230e5bce5a1aac4bed92c254c6

En los registros de UaCredDebug (C:\Program Files\Palo Alto Networks\User-Id Credential Agent) muestra "No se pudo enlazar al servidor LDAP" y "No se especificó DN. No se actualiza" constantemente

[Error  542]: ldap_connect(_uidsvc@AAVNI.NET) return(49) : ÐàÝ
[Error 1073]: pan_ldap_bind()  failed
[Debug 1096]: Disconnect ldap from '127.0.0.1'
[Error 1880]: ldap connect failed: HàÝ
[Error 1689]: Failed to bind to LDAP server
[ Warn  613]: No DN specified. Not refreshing.
[Error  696]: Failed to update user list
[Debug  798]: Parsing message...
[Debug  873]: Received request for BF.
[ Info  667]: Sent BF to UaService. 0829f71740aab1ab98b33eae21dee122
[ Warn  613]: No DN specified. Not refreshing.
[Error  696]: Failed to update user list
[ Warn  613]: No DN specified. Not refreshing.
[Error  696]: Failed to update user list
[ Warn  613]: No DN specified. Not refreshing.
[Error  696]: Failed to update user list

Al detener el servicio del agente de credenciales de ID de usuario en RODC, obtenemos el mensaje "Error 1067: El proceso finalizó inesperadamente"

Environment

Palo Alto Firewalls
PAN-OS compatible
Agente de ID de usuario
Agente de credenciales de ID de usuario
Microsoft RODC

Cause

Según los registros anteriores, el problema se debió a que la cuenta de servicio estaba inhabilitada o bloqueada
El error "ldap_connect(_uidsvc@AAVNI.NET) return(49)" se debe al nombre distintivo (DN) o a que la contraseña no es válida

Resolution

Verifica si la cuenta de servicio está inhabilitada o bloqueada. En la siguiente cuenta de servicio de ID de usuario, podemos ver que la cuenta se bloqueó