Erreur Kerberos « -1765328228 » observée après la configuration... - Knowledge Base - Palo Alto Networks

Erreur Kerberos « -1765328228 » observée après la configuration avec WinRM- ou WinRM- pour un utilisateur sans agent-HTTPHTTPSID

16493

Created On 01/25/23 18:22 PM - Last Modified 04/11/23 01:21 AM

Symptom

L’erreur Kerberos « -1765328228 » est observée après la configuration avec WinRM- ou WinRM- pour un utilisateur sans agent-HTTPHTTPSID

Détails:

Le profil de serveur Kerberos est configuré pour utiliser le port 5985 lorsque le protocole WinRM-HTTP est activé pour l’utilisateurID sans agent

Le profil de serveur Kerberos est ajouté à la configuration UtilisateurID sans agent (GUI: Device > User Identification > > User Mappage )

Configuration utilisateurID sans agent avec WinRM-HTTP profil de serveur Kerberos

Après avoir validé les modifications, nous voyons Échec de la connexion dans la configuration Utilisateur sansID agent - et les entrées de journal ci-dessous sont générées dans l’ID utilisateur.log (moins l’ID utilisateur mp-log.log)

2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1982): failed to get krb5 tgt ticket with error -1765328228.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1987): krb5: accout=svc-panuserid, domain=PLANOLAB.COM, principal=svc-panuserid@PLANOLAB.COM, cached file=/opt/pancfg/.userid/krb5_cache_1_lab101.planolab.com_1661450486.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2013): krb5 error -1765328228: Cannot contact any KDC for realm 'PLANOLAB.COM'.
2022-08-28 15:59:52.139 -0700 Warning:  pan_user_id_krb5_set(pan_user_id_win.c:2101): failed to acquire krb5 tgt ticket on vsys 1 for server lab101.planolab.com.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_winrm_query(pan_user_id_win.c:2628): failed to prepare winrm connection in vsys 1, server=lab101.planolab.com.
2022-08-28 15:59:53.238 -0700 krb5 config:
[libdefaults]
         default_realm = PLANOLAB.COM
         dns_lookup_realm = true
         dns_lookup_kdc = true
         rdns = false
         dns_canonicalize_hostname = false
         default_tkt_enctypes = aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
         default_tgs_enctypes = aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
         forwardable = true
[realms]
         PLANOLAB.COM = {
                 kdc = lab101.planolab.com:5985
         }

Des entrées de journal similaires sont générées lorsque le profil de serveur Kerberos est configuré pour utiliser le port 5986 lorsque le protocole WinRM-HTTPS est activé pour l’utilisateurID sans agent
Ce message d’erreur particulier n’a pas pu obtenir le ticket krb5 tgt avec l’erreur -1765328228 est généré lorsque le profil de serveur Kerberos a le port incorrect configuré

Environment

Palo Alto (Palo Alto) Firewall
Soutenu PAN-OS
Utilisateur sans agent-ID
Protocole WinRM ou WinRMHTTPHTTPS
Profil d’authentification Kerberos

Cause

Lorsque le protocole WinRM ou WinRMHTTP estHTTPS activé dans la configuration Utilisateur sans agent,ID PAN-OS firewall utilisera respectivement le port 5985 ou 5986 lors de la connexion au(x) contrôleur(s) de domaine. Ces ports n’ont pas besoin d’être configurés explicitement

Resolution

Utilisez la configuration par défaut pour la configuration Kerberos. PAN-OS firewall utilisera le port 88 par défaut pour se connecter au serveur Kerberos pour l’un des protocoles, comme indiqué ci-dessous :

WinRM-HTTP Profil de serveur Kerberos avec port correct

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)