使用 WinRM 配置后观察到 Kerberos 错误“-1765328228”-HTTP或 WinRM-HTTPS对于无代理用户-ID

• 使用 WinRM 配置后观察到 Kerberos 错误“-1765328228”-HTTP或 WinRM-HTTPS对于无代理用户-ID

• Kerberos 服务器配置文件无代理用户配置为使用端口 5985-ID有WinRM-HTTP启用协议

• Kerberos 服务器配置文件添加到无代理用户-ID配置 （GUI :设备 > 用户识别 > > 用户映射）

• 提交更改后，我们看到连接失败在无代理用户中-ID配置和以下日志条目在useridd.log (少 mp-log useridd.log )

2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1982): failed to get krb5 tgt ticket with error -1765328228.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1987): krb5: accout=svc-panuserid, domain=PLANOLAB.COM, principal=svc-panuserid@PLANOLAB.COM, cached file=/opt/pancfg/.userid/krb5_cache_1_lab101.planolab.com_1661450486.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2013): krb5 error -1765328228: Cannot contact any KDC for realm 'PLANOLAB.COM'.
2022-08-28 15:59:52.139 -0700 Warning:  pan_user_id_krb5_set(pan_user_id_win.c:2101): failed to acquire krb5 tgt ticket on vsys 1 for server lab101.planolab.com.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_winrm_query(pan_user_id_win.c:2628): failed to prepare winrm connection in vsys 1, server=lab101.planolab.com.
2022-08-28 15:59:53.238 -0700 krb5 config:
[libdefaults]
         default_realm = PLANOLAB.COM
         dns_lookup_realm = true
         dns_lookup_kdc = true
         rdns = false
         dns_canonicalize_hostname = false
         default_tkt_enctypes = aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
         default_tgs_enctypes = aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
         forwardable = true
[realms]
         PLANOLAB.COM = {
                 kdc = lab101.planolab.com:5985
         }

• 当无代理用户将 Kerberos 服务器配置文件配置为使用端口 5986 时，将生成类似的日志条目 -ID有WinRM-HTTPS启用协议
• 这个特定的错误信息未能获得 krb5 tgt 票证，错误为 -1765328228当 Kerberos 服务器配置文件配置了不正确的端口时生成

• 帕洛阿尔托 Firewall
• 支持的 PAN-OS
• 无代理用户-ID
• WinRM-HTTP或 WinRM-HTTPS协议
• Kerberos 身份验证配置文件