Solucionar problemas de autenticación, autorización y auditoría
Solucionar problemas de autenticación en NetScaler y NetScaler Gateway con el módulo aaad.debug
La autenticación en NetScaler Gateway la gestiona el daemon de autenticación, autorización y auditoría (AAA). Los eventos de autenticación sin procesar que procesa el daemon AAA se pueden supervisar consultando el resultado del módulo aaad.debug y sirven como una valiosa herramienta de solución de problemas. El aaad.debug es una barra vertical, no un archivo plano, y no muestra los resultados ni los registra. Por lo tanto, el comando cat se puede utilizar para ver la salida de aaad.debug. El proceso de uso de nsaaad.debug para solucionar un problema de autenticación normalmente se denomina “depuración aaad”.
Este proceso es útil para solucionar problemas de autenticación como:
- Errores de autenticación generales
- Fallos de nombre de usuario/contraseña
- Errores de configuración de la directiva de autenticación
- Discrepancias en la extracción de grupos
Nota: Este proceso se aplica a NetScaler Gateway y al dispositivo NetScaler.
Solución de problemas de autenticación
Para solucionar problemas de autenticación con el módulo aaad.debug, complete el siguiente procedimiento:
-
Conéctese a la interfaz de línea de comandos de NetScaler Gateway con un cliente Secure Shell (SSH) como PuTTY.
- Ejecute el siguiente comando para cambiar a la línea de comandos:
shell - Ejecute el siguiente comando para cambiar al directorio /tmp:
cd /tmp - Ejecute el siguiente comando para iniciar el proceso de depuración:
cat aaad.debug - Realice el proceso de autenticación que requiera la solución de problemas, como un intento de inicio de sesión del usuario.
- Supervise el resultado del comando cat aaad.debug para interpretar y solucionar los problemas del proceso de autenticación.
- Detenga el proceso de depuración pulsando Ctrl+Z.
- Ejecute el siguiente comando para registrar la salida de
aaad.debugen un archivo:cat aaad.debug | tee /var/tmp/<debuglogname>, donde/var/tmpestá la ruta de directorio requerida y<debuglogname.log>el nombre de registro requerido.
La siguiente sección proporciona ejemplos de cómo se puede utilizar el módulo aaad.debug para solucionar problemas e interpretar un error de autenticación.
Contraseña incorrecta
En el ejemplo siguiente, el usuario introduce una contraseña RADIUS incorrecta.
process_radius Got RADIUS event
process_radius Received BAD_ACCESS_REJECT for: <username>
process_radius Sending reject.
send_reject_with_code Rejecting with error code 4001
<!--NeedCopy-->
Nombre de usuario no válido
En el ejemplo siguiente, el usuario introduce un nombre de usuario LDAP incorrecto.
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[450]: receive_ldap_user_search_event 1-140: Admin authentication(Bind) succeeded, now attempting to search the user testusernew
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[453]: receive_ldap_user_search_event 1-140: Number of entires in LDAP server response = 0
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[459]: receive_ldap_user_search_event 1-140: ldap_first_entry returned null, user testusernew not found
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4781]: send_reject_with_code 1-140: Not trying cascade again 4009
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4783]: send_reject_with_code 1-140: sending reject to kernel for : testusernew
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4801]: send_reject_with_code 1-140: Rejecting with error code 4009
<!--NeedCopy-->
Determinación de los resultados de la extracción grupal
En el siguiente ejemplo, se pueden determinar los resultados de la extracción grupal. Muchos problemas con el acceso a grupos AAA implican que el usuario no selecciona las directivas de sesión correctas para el grupo asignado en un dispositivo NetScaler Gateway. Algunas de las razones más comunes para ello incluyen una ortografía incorrecta de AD o el nombre del grupo Radius en el dispositivo y que los usuarios no sean miembros del grupo de seguridad de AD o del servidor Radius.
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[40]:
start_ldap_auth attempting to auth scottli @ 10.12.33.216
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[291]:
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[551]: recieve_ldap_user_search_event built group string for scottli of:Domain Admins
<!--NeedCopy-->
códigos de error del módulo aaad.debug
En la siguiente tabla se enumeran los distintos códigos de error del módulo aaad.debug, la causa del error y la resolución.
| códigos de error del módulo aaad.debug | Mensaje de error | Causa del error | La resolución |
|---|---|---|---|
| 4001 | Credenciales/contraseña incorrectas. Reintentar. | Se han suministrado credenciales incorrectas | Introduzca las credenciales correctas |
| 4002 | No permitido | Se trata de un error general. Se produce cuando se produce un error en la operación ldapbind por motivos distintos de las credenciales de usuario incorrectas. | Asegúrese de que la operación de enlace esté permitida |
| 4003 | No se puede conectar con el servidor. Intenta conectarte de nuevo en unos minutos. | Tiempo de espera del servidor | Aumente el valor del tiempo de espera del servidor LDAP/RADIUS en NetScaler (Autenticación > LDAP/RADIUS > Servidor > Valor de tiempo de espera). El valor de tiempo de espera predeterminado es de 3 segundos. |
| 4004 | Error del sistema | Error interno de NetScaler/NetScaler Gateway o error de ejecución en la biblioteca del dispositivo | Compruebe la causa del error del sistema y vuelva a resolverlo. |
| 4005 | Error de enchufe | Error de socket al hablar con el servidor de autenticación | Asegúrese de que el servidor LDAP/RADIUS o cualquier otro servidor de autenticación pueda escuchar en los puertos mencionados en la acción de autenticación configurada en NetScaler. Por ejemplo, un caso de error común puede ser que un perfil ldapen NetScaler esté configurado para usar el puerto 636 /SSL; sin embargo, el mismo puerto no esté abierto en el AD. |
| 4006 | Nombre de usuario incorrecto | Nombre de usuario incorrecto (con formato) pasado a nsaaad, como un nombre de usuario vacío | Introduce el nombre de usuario correcto |
| 4007 | Contraseña incorrecta | Contraseña incorrecta (de formato) pasada a nsaaad | Introduce la contraseña correcta |
| 4008 | Las contraseñas no coinciden | La contraseña no coincide | Introduce la contraseña correcta |
| 4009 | No se encontró el usuario | No existe ese usuario | Inicie sesión con un usuario válido presente en AD |
| 4010 | No tiene permiso para iniciar sesión en este momento | Horas de inicio de sesión restringidas | Inicie sesión fuera del horario restringido |
| 4011 | Su cuenta de AD está inhabilitada | Cuenta inhabilitada | Habilita su cuenta de AD |
| 4012 | Su contraseña ha caducado | Contraseña caducada | Restablecer la contraseña |
| 4013 | No tienes permiso para iniciar sesión | Sin permiso de acceso telefónico (específico de RADIUS). Esto suele ocurrir si un usuario no está autorizado a autenticarse en un servidor. | Es necesario cambiar la configuración de permisos de acceso a la red |
| 4014 | No se pudo cambiar la contraseña | Error al cambiar la contraseña. Esto puede ocurrir por muchas razones. Una de esas razones podría ser intentar cambiar la contraseña mediante el puerto no SSL que se proporciona en ldapprofile en NetScaler. | Asegúrese de que se utilice un puerto y un tipo de segundo seguros para cambiar la contraseña |
| 4015 | Su cuenta está bloqueada temporalmente | La cuenta de usuario AD está bloqueada | Desbloquea su cuenta de AD |
| 4016 | No se pudo actualizar la contraseña. La contraseña debe cumplir con los requisitos de longitud, complejidad e historial del dominio. | No se cumplen los requisitos de contraseña del usuario al cambiar la contraseña | Cumpla con los requisitos necesarios al cambiar la contraseña |
| 4017 | Proceso NAC | Específico para Microsoft Intune. NetScaler Gateway no puede verificar el dispositivo debido a un error de la API o a un error de conectividad. | Asegúrese de que NetScaler Gateway pueda acceder a los dispositivos gestionados por Microsoft Intune |
| 4018 | Incumplimiento de NAC | Microsoft Intune devuelve un estado que indica que este dispositivo no es compatible | Asegúrese de que los dispositivos gestionados de Microsoft Intune cumplan con NetScaler Gateway |
| 4019 | NAC no administrado | Microsoft Intune devuelve un estado que indica que no se trata de un dispositivo gestionado | Asegúrese de que las configuraciones específicas de Microsoft Intune estén implementadas |
| 4020 | No se admite la autenticación | Este error se observa en caso de una configuración incorrecta. Por ejemplo, NetScaler no admite el tipo de autenticación o si la configuración del perfil de autenticación es incorrecta en el dispositivo NetScaler o si se intenta realizar una acción contable (radius) para la autenticación. | Marque la casilla Autenticación del servidor de autenticación en NetScaler si no está marcada. Utilice la acción de autenticación adecuada en NetScaler. |
| 4021 | Cuenta de usuario caducada | La cuenta de usuario ha caducado | Renueva su cuenta de usuario |
| 4022 | La cuenta de usuario está bloqueada por NetScaler | La cuenta de usuario está bloqueada por NetScaler | Desbloquee la cuenta mediante el comando unlock aaa user <> |
| 4023 | Se ha alcanzado el límite máximo de dispositivos OTP | Se ha alcanzado el límite de dispositivos para recibir OTP | Intente anular el registro de los dispositivos OTP no requeridos o continúe con los que ya están registrados |
Localizar los mensajes de error generados por el sistema NetScaler nFactor
Este tema captura información sobre la localización de los mensajes de error generados por el sistema NetScaler nFactor. Estos mensajes incluyen las cadenas de error de autenticación extendidas que se obtienen como parte de la retroalimentación de autenticación mejorada.
Las cadenas de error predeterminadas que envía el subsistema nFactor se describen en /var/NetScaler/logon/logonpoint/receiver/js/localization/en/ctxs.strings.js para el idioma inglés. Las cadenas de error de otros idiomas se encuentran en los directorios correspondientes de /var/NetScaler/logon/logonpoint/receiver/js/localization/.
Debe crear un tema de portal basado en la interfaz de usuario de RFWeb para localizar los mensajes de error.
En la línea de comandos, escriba:
add portaltheme custom_error_theme -basetheme RfWebUI
bind authentication vserver av1 -portaltheme custom_error_theme
<!--NeedCopy-->
Tras ejecutar estos comandos, se crea un nuevo directorio en /var/netscaler/logon/themes/<name>. Este directorio contiene un archivo denominado “strings.en.json”. Para empezar, este archivo es un archivo json vacío. El administrador puede agregar pares de nombre-valor compuestos por cadenas de error antiguas y nuevas.
Por ejemplo, { “No hay directiva activa durante la autenticación”: “No hay directiva activa durante la autenticación, póngase en contacto con el administrador” }
En el ejemplo anterior, el texto de la izquierda es el mensaje de error existente que envía nFactor. El texto de la derecha lo sustituye. El administrador puede agregar más mensajes según sea necesario.
Comentarios sobre autenticación mejorada
Para obtener mensajes de error extendidos durante el proceso de autenticación, debe estar habilitada la función EnhancedAuthenticationFeedback.
En la línea de comandos, escriba:
set aaa parameter –enableEnhancedAuthFeedback YES
<!--NeedCopy-->