Tôi mới làm quen với cả Palo Alto lẫn Azure, và thỉnh thoảng khi gặp vấn đề mà tôi thấy tài liệu hướng dẫn còn thiếu sót, tôi sẽ đăng giải pháp lên. Có lẽ nó có thể giúp được ai đó, hoặc nếu bạn thấy bài đăng của tôi thừa thãi thì cứ lờ đi nhé. 🙂
Palo của chúng tôi được tích hợp với Active Directory, nhưng chúng tôi vẫn chưa triển khai client GlobalProtect vào môi trường production. Mọi người vẫn đang dùng Cisco AnyConnect thông qua mạng on-prem của chúng tôi… chúng tôi đang trong quá trình di chuyển sang Azure. Dù sao thì, GlobalProtect vẫn hoạt động tốt, nhưng tôi đã không thử nó trong vài tuần. Khi tôi kiểm tra nó vào hôm nọ, tôi gặp lỗi xác thực.
Dưới đây là một số lệnh hữu ích để chạy trong CLI mà tôi tìm thấy sau khi tìm tòi rất nhiều. test authentication authentication-profile <yourauthenticationprofile> username <username> password. Tất nhiên, bỏ dấu <> và nhập profile xác thực của bạn và tên người dùng bạn muốn kiểm tra. Khi tôi chạy lệnh này, tôi nhận được thông báo lỗi “Parse error for maxPwdAge attr search”. Tôi cũng chạy lệnh “tail mp-log authd.log – authentication log” để xem các mục nhập cuối cùng của nhật ký xác thực. Bạn cũng có thể chạy một số packet capture, mặc dù các lệnh trên đã cung cấp cho tôi nhiều thông tin hơn so với việc xem packet capture, nhưng đây là các lệnh. tcpdump filter “dst ‘destination goes here’” snaplen 0 view-pcap mgmt-pcap mgmt.pcap
Dù sao thì, sau rất nhiều rắc rối và bực mình, giải pháp hóa ra lại rất đơn giản. Trong profile máy chủ LDAP, mật khẩu bind dn đã bị mất. (Tôi nhận thấy mật khẩu bị trống) Tôi không chắc chuyện gì đã xảy ra. Chúng tôi đang thêm một tường lửa thứ 3 sẽ sử dụng một domain controller riêng để xác thực, vì vậy tôi đã thay đổi các máy chủ ad để sử dụng biến thay thế trong panorama và có lẽ điều đó đã làm mất mật khẩu? Tôi không chắc chắn lắm, nhưng đó là phỏng đoán tốt nhất của tôi. Dù sao thì, việc đặt lại mật khẩu bind-dn vào panorama và đẩy cấu hình đến các thiết bị đã giải quyết được vấn đề.
Chỉ chia sẻ ở đây nếu ai đó gặp phải vấn đề tương tự. Có lẽ điều này sẽ giúp ai đó tiết kiệm được vài ngày bực mình. 🙂