Les journaux Useridd affichent « Erreur de crédence UIA : informations d’identification activées mais pas de synthèse »
7848
Created On 03/12/23 21:51 PM - Last Modified 10/21/24 19:24 PM
Symptom
- Après avoir activé le filtre d’informations d’identification de domaine à l’aide de l’agent d’informations d’identification User-ID sur le pare-feu, vous pouvez remarquer une erreur constante sous useridd.log (moins mp-log useridd.log) comme « Erreur Credentail : informations d’identification activées mais pas de synthèse »
>tail follow yes mp-log useridd.log 0500 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10881): UIA Credentail error: credential enabled but no digest. 0500 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10881): UIA Credentail error: credential enabled but no digest. - L’état de l’agent d’ID utilisateur sur le pare-feu indique « État de l’application des informations d’identification : Activé et en attente »
>show user user-id-agent state Credentail Agent: Credentail(vsys: vsys1) Host: 172.16.3.253(172.16.3.253):5007 Status : conn:idle Version : 0x5 SSL config : Default certificates num of connection tried : 4 num of connection succeeded : 4 num of connection failed : 0 num of status msgs rcvd : 216 num of request of status msgs sent : 216 .....(Output Omitted)..... Failed to send messages : 0 Failed to enqueue messages : 0 Queued sending msgs with priority 0 : 0 Queued sending msgs with priority 1 : 0 Queued rcvring msgs with priority 0 : 0 Queued rcvring msgs with priority 1 : 0 Credential Enforcement Status : Enabled and Pending Last BF digest received(seconds ago) : 929 Last BF request sent(seconds ago) : 1124 Last BF updated(seconds ago) : 1124 Current BF digest : 211700230e5bce5a1aac4bed92c254c6 - Sous les journaux UaCredDebug (C :\Program Files\Palo Alto Networks\User-Id Credential Agent), il affiche « Échec de la liaison au serveur LDAP » et « Aucun DN spécifié. Pas rafraîchissant » constamment
[Error 542]: ldap_connect(_uidsvc@AAVNI.NET) return(49) : ÐàÝ [Error 1073]: pan_ldap_bind() failed [Debug 1096]: Disconnect ldap from '127.0.0.1' [Error 1880]: ldap connect failed: HàÝ [Error 1689]: Failed to bind to LDAP server [ Warn 613]: No DN specified. Not refreshing. [Error 696]: Failed to update user list [Debug 798]: Parsing message... [Debug 873]: Received request for BF. [ Info 667]: Sent BF to UaService. 0829f71740aab1ab98b33eae21dee122 [ Warn 613]: No DN specified. Not refreshing. [Error 696]: Failed to update user list [ Warn 613]: No DN specified. Not refreshing. [Error 696]: Failed to update user list [ Warn 613]: No DN specified. Not refreshing. [Error 696]: Failed to update user list - Lors de l’arrêt du service User-ID Credentials Agent sur le contrôleur de domaine en lecture seule, nous obtenons le message « Erreur 1067 : le processus s’est terminé de manière inattendue »
Environment
- Pare-feu Palo Alto
- PAN-OS pris en charge
- Agent d’ID utilisateur
- Agent d’informations d’identification d’ID utilisateur
- Contrôleur de domaine en lecture seule Microsoft
Cause
- D’après les journaux ci-dessus, le problème a été causé par la désactivation ou le verrouillage du compte de service
- « ldap_connect(_uidsvc@AAVNI.NET) return(49) » L’erreur était due au nom distinctif (DN) ou le mot de passe n’est pas valide
Resolution
- Vérifiez si le compte de service est désactivé ou verrouillé. Dans le compte du service UserID ci-dessous, nous pouvons voir que le compte a été verrouillé
- Déverrouiller le compte de service s'il est verrouillé
- Activer le compte s'il est désactivé