ADC

Beheben Sie Probleme mit der Authentifizierung, Autorisierung und Überwachung

Beheben von Authentifizierungsproblemen in NetScaler und NetScaler Gateway mit dem Modul aaad.debug

Die Authentifizierung in NetScaler Gateway erfolgt über den AAA-Daemon (Authentication, Authorization, Auditing). Die unformatierten Authentifizierungsereignisse, die der AAA-Daemon verarbeitet, können anhand der Ausgabe des aaad.debug-Moduls überwacht werden und dienen als wertvolles Tool zur Fehlerbehebung. aaad.debug ist eine Pipe im Gegensatz zu einer Flatfile und zeigt die Ergebnisse nicht an und protokolliert sie nicht. Daher kann der Befehl cat verwendet werden, um die Ausgabe von aaad.debug anzuzeigen. Der Prozess der Verwendung von nsaaad.debug zur Behebung eines Authentifizierungsproblems wird üblicherweise als „Debuggen von aaad“ bezeichnet.

Debug-Prozess mit dem Modul aaad.debug

Dieser Prozess ist nützlich, um Authentifizierungsprobleme zu beheben, wie z. B.:

  • Allgemeine Authentifizierungsfehler
  • Fehler beim Benutzernamen/Passwort
  • Fehler bei der Konfiguration der Authentifizierungsrichtlinie
  • Diskrepanzen bei der Gruppenextraktion

Hinweis: Dieser Prozess gilt für NetScaler Gateway und NetScaler Appliance.

Behebung von Authentifizierungsproblemen

Gehen Sie wie folgt vor, um Probleme bei der Authentifizierung mit dem Modul aaad.debug zu beheben:

  1. Stellen Sie mit einem Secure Shell-Client (SSH) wie PuTTY eine Verbindung zur NetScaler Gateway-Befehlszeilenschnittstelle her.

  2. Führen Sie den folgenden Befehl aus, um zur Shell-Eingabeaufforderung zu wechseln: shell
  3. Führen Sie den folgenden Befehl aus, um in das Verzeichnis /tmp zu wechseln: cd /tmp
  4. Führen Sie den folgenden Befehl aus, um den Debugging-Vorgang zu starten: cat aaad.debug
  5. Führen Sie den Authentifizierungsprozess durch, der eine Fehlerbehebung erfordert, z. B. einen Benutzeranmeldeversuch.
  6. Überwachen Sie die Ausgabe des Befehls cat aaad.debug, um den Authentifizierungsprozess zu interpretieren und Fehler zu beheben.
  7. Beenden Sie den Debugging-Vorgang, indem Sie Strg+Z drücken.
  8. Führen Sie den folgenden Befehl aus, um die Ausgabe von aaad.debug in eine Datei aufzuzeichnen: cat aaad.debug | tee /var/tmp/<debuglogname>, wobei /var/tmp der erforderliche Verzeichnispfad und der <debuglogname.log> erforderliche Logname stehen.

Der folgende Abschnitt enthält Beispiele dafür, wie das Modul aaad.debug verwendet werden kann, um einen Authentifizierungsfehler zu beheben und zu interpretieren.

Falsches Passwort

Im folgenden Beispiel gibt der Benutzer ein falsches RADIUS-Passwort ein.

process_radius Got RADIUS event
process_radius Received BAD_ACCESS_REJECT for: <username>
process_radius Sending reject.
send_reject_with_code Rejecting with error code 4001
<!--NeedCopy-->

Ungültiger Nutzername

Im folgenden Beispiel gibt der Benutzer einen falschen LDAP-Benutzernamen ein.

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[450]: receive_ldap_user_search_event 1-140: Admin authentication(Bind) succeeded, now attempting to search the user testusernew

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[453]: receive_ldap_user_search_event 1-140: Number of entires in LDAP server response = 0

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[459]: receive_ldap_user_search_event 1-140: ldap_first_entry returned null, user testusernew not found

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4781]: send_reject_with_code 1-140: Not trying cascade again 4009

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4783]: send_reject_with_code 1-140: sending reject to kernel for : testusernew

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4801]: send_reject_with_code 1-140: Rejecting with error code 4009
<!--NeedCopy-->

Bestimmung der Ergebnisse der Gruppenextraktion

Im folgenden Beispiel können die Ergebnisse der Gruppenextraktion bestimmt werden. Viele Probleme mit dem AAA-Gruppenzugriff sind darauf zurückzuführen, dass der Benutzer in einer NetScaler Gateway-Appliance nicht die richtigen Sitzungsrichtlinien für die ihm zugewiesene Gruppe auswählt. Zu den häufigsten Gründen hierfür gehören die falsche Schreibweise von AD oder des Radius-Gruppennamens in der Appliance und Benutzer, die kein Mitglied der Sicherheitsgruppe in AD oder auf dem Radius-Server sind.

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[40]:
start_ldap_auth attempting to auth scottli @ 10.12.33.216

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[291]:

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[551]: recieve_ldap_user_search_event built group string for scottli of:Domain Admins
<!--NeedCopy-->

Fehlercodes des aaad.debug-Moduls

In der folgenden Tabelle sind die verschiedenen Fehlercodes des aaad.debug-Moduls, die Ursache des Fehlers und die Lösung aufgeführt.

Fehlercodes des aaad.debug-Moduls Fehlermeldung Ursache des Fehlers Auflösung
4001 Falsche Anmeldeinformationen/Passwort. Versuchen Sie es erneut. Falsche Anmeldeinformationen wurden angegeben Geben Sie die richtigen Anmeldeinformationen ein
4002 Nicht erlaubt Dies ist ein All-Catch-Fehler. Tritt auf, wenn der ldapbind-Vorgang aus anderen Gründen als falschen Benutzeranmeldeinformationen fehlschlägt. Stellen Sie sicher, dass der Bindvorgang zulässig ist
4003 Verbindung zum Server nicht möglich. Versuchen Sie in ein paar Minuten erneut, eine Verbindung herzustellen. Server-Timeout Erhöhen Sie den LDAP/Radius-Server-Timeout-Wert auf NetScaler (Authentifizierung > LDAP/Radius > Server > Timeout-Wert). Der Standardwert für das Timeout beträgt 3 Sekunden.
4004 Systemfehler Interner NetScaler/NetScaler Gateway-Fehler oder ein Laufzeitfehler in der Appliance-Bibliothek Suchen Sie nach der Ursache des Systemfehlers und beheben Sie ihn
4005 Socket-Fehler Socket-Fehler bei der Kommunikation mit dem Authentifizierungsserver Stellen Sie sicher, dass der LDAP/RADIUS-Server oder andere Authentifizierungsserver die in der auf NetScaler konfigurierten Authentifizierungsaktion genannten Ports abhören können. Ein häufiges Fehlerszenario kann beispielsweise sein, dass ein ldapprofile auf NetScaler so konfiguriert ist, dass es Port 636/SSL verwendet, derselbe Port jedoch nicht im AD geöffnet ist.
4006 Falscher Nutzername Ein falscher (Format-) Benutzername wurde an nsaaad übergeben, wie ein leerer Benutzername Geben Sie den richtigen Benutzernamen ein
4007 Falsches Passwort Falsches (Format-) Passwort an nsaaad übergeben Geben Sie das richtige Passwort ein
4008 Passwörter stimmen nicht überein Passwörter stimmen nicht überein Geben Sie das richtige Passwort ein
4009 Benutzer wurde nicht gefunden Kein solcher Benutzer Melden Sie sich mit einem gültigen Benutzer an, der in AD vorhanden ist
4010 Sie sind derzeit nicht berechtigt, sich anzumelden Eingeschränkte Anmeldezeiten Melden Sie sich außerhalb der eingeschränkten Zeiten an
4011 Ihr AD-Konto ist deaktiviert Konto deaktiviert Aktivieren Sie Ihr AD-Konto
4012 Ihr Passwort ist abgelaufen Passwort ist abgelaufen Zurücksetzen des Kennworts
4013 Sie sind nicht berechtigt, sich anzumelden Keine Einwahlberechtigung (RADIUS-spezifisch). Dies passiert normalerweise, wenn ein Benutzer nicht autorisiert ist, sich auf einem Server zu authentifizieren. Die Einstellung der Netzwerkzugriffsberechtigung muss geändert werden
4014 Ihr Passwort konnte nicht geändert werden Fehler beim Ändern des Passworts. Dies kann viele Gründe haben. Ein solcher Grund könnte der Versuch sein, das Passwort über den Nicht-SSL-Port zu ändern, der in ldapprofile auf NetScaler bereitgestellt wird. Stellen Sie sicher, dass der sichere Port und der Sec-Typ zum Ändern des Passworts verwendet werden
4015 Ihr Konto ist vorübergehend gesperrt Das AD-Konto des Benutzers ist gesperrt Entsperren Sie Ihr AD-Konto
4016 Ihr Passwort konnte nicht aktualisiert werden. Das Passwort muss den Anforderungen der Domain an Länge, Komplexität und Historie entsprechen. Die Anforderungen an das Benutzerkennwort wurden beim Ändern des Passworts nicht erfüllt Erfüllen Sie die erforderlichen Anforderungen, während Sie das Passwort ändern
4017 NAC-Prozess Microsoft Intune-spezifisch. NetScaler Gateway kann das Gerät nicht verifizieren, entweder aufgrund eines API-Fehlers oder eines Verbindungsfehlers. Stellen Sie sicher, dass von Microsoft Intune verwaltete Geräte für NetScaler Gateway erreichbar sind
4018 NAC-Nichteinhaltung Microsoft Intune gibt den Status zurück, der besagt, dass dieses Gerät kein kompatibles Gerät ist Stellen Sie sicher, dass von Microsoft Intune verwaltete Geräte mit NetScaler Gateway kompatibel sind
4019 NAC nicht verwaltet Microsoft Intune gibt den Status zurück, der besagt, dass es sich nicht um ein verwaltetes Gerät handelt. Stellen Sie sicher, dass Microsoft Intune-spezifische Konfigurationen vorhanden sind
4020 Authentifizierung wird nicht unterstützt Dieser Fehler tritt bei einer Fehlkonfiguration auf. Beispielsweise wird der Authentifizierungstyp von NetScaler nicht unterstützt oder wenn die Authentciationprofile-Konfiguration auf der NetScaler-Appliance falsch ist oder wenn für die Authentifizierung eine Abrechnungsaktion (Radius) versucht wird. Aktivieren Sie das Kontrollkästchen Authentifizierung für den Authentifizierungsserver auf NetScaler, falls es deaktiviert ist. Verwenden Sie die entsprechende Authentifizierungsaktion auf NetScaler.
4021 Benutzerkonto ist abgelaufen Das Benutzerkonto ist abgelaufen Erneuern Sie Ihr Benutzerkonto
4022 Das Benutzerkonto ist von NetScaler gesperrt Das Benutzerkonto ist von NetScaler gesperrt Entsperren Sie das Konto mit dem Befehl unlock aaa user <>
4023 Maximales OTP-Gerätelimit erreicht Gerätelimit für den Empfang von OTP erreicht Versuchen Sie entweder, die Registrierung der nicht benötigten OTP-Geräte aufzuheben, oder fahren Sie mit den bereits registrierten fort

Lokalisieren Sie Fehlermeldungen, die vom NetScaler nFactor-System generiert wurden

Dieses Thema enthält Informationen zur Lokalisierung von Fehlermeldungen, die vom NetScaler nFactor-System generiert wurden. Diese Meldungen enthalten die erweiterten Authentifizierungsfehlerzeichenfolgen, die im Rahmen des erweiterten Authentifizierungsfeedbacks abgerufen werden.

Die Standard-Fehlerzeichenfolgen, die vom nFactor-Subsystem gesendet werden, sind in /var/netscaler/logon/logonPoint/receiver/js/localization/en/ctxs.strings.js für die englische Sprache beschrieben. Fehlerzeichenfolgen für andere Sprachen finden Sie in den entsprechenden Verzeichnissen in /var/netscaler/logon/logonPoint/receiver/js/localization/.

Sie müssen ein Portaldesign erstellen, das auf der RFWeb-Benutzeroberfläche basiert, um Fehlermeldungen zu lokalisieren.

Geben Sie in der Befehlszeile Folgendes ein:

add portaltheme custom_error_theme -basetheme RfWebUI

bind authentication vserver av1  -portaltheme custom_error_theme
<!--NeedCopy-->

Nachdem diese Befehle ausgeführt wurden, wird ein neues Verzeichnis in /var/netscaler/logon/themes/<name>erstellt. Dieses Verzeichnis enthält eine Datei mit dem Namen „strings.en.json“. Diese Datei ist zunächst eine leere JSON-Datei. Der Administrator kann Name-Wert-Paare hinzufügen, die aus alten und neuen Fehlerzeichenfolgen bestehen.

Zum Beispiel { „Keine aktive Richtlinie während der Authentifizierung“: „Keine aktive Richtlinie während der Authentifizierung, bitte kontaktieren Sie den Administrator“ }

Im vorherigen Beispiel ist der Text auf der linken Seite die vorhandene Fehlermeldung, die von nFactor gesendet wird. Der Text auf der rechten Seite ist der Ersatz dafür. Der Administrator kann nach Bedarf weitere Nachrichten hinzufügen.

Verbessertes Authentifizierungsfeedback

Um während des Authentifizierungsprozesses erweiterte Fehlermeldungen zu erhalten, muss die Funktion EnhancedAuthenticationFeedback aktiviert sein.

Geben Sie in der Befehlszeile Folgendes ein:

set aaa parameter –enableEnhancedAuthFeedback YES
<!--NeedCopy-->
Beheben Sie Probleme mit der Authentifizierung, Autorisierung und Überwachung