ADC

Solucionar problemas de autenticación, autorización y auditoría

Solucionar problemas de autenticación en Citrix ADC y Citrix Gateway con el módulo aaad.debug

La autenticación en Citrix Gateway se gestiona mediante el daemon de autenticación, autorización y auditoría (AAA). Los eventos de autenticación sin procesar que procesa el daemon AAA se pueden supervisar consultando el resultado del módulo aaad.debug y sirven como una valiosa herramienta de solución de problemas. El aaad.debug es una barra vertical, no un archivo plano, y no muestra los resultados ni los registra. Por lo tanto, el comando cat se puede utilizar para ver la salida de aaad.debug. El proceso de uso de nsaaad.debug para solucionar un problema de autenticación normalmente se denomina “depuración aaad”.

Proceso de depuración mediante el módulo aaad.debug

Este proceso es útil para solucionar problemas de autenticación como:

  • Errores de autenticación generales
  • Fallos de nombre de usuario/contraseña
  • Errores de configuración de la directiva de autenticación
  • Discrepancias en la extracción de grupos

Nota: Este proceso se aplica a Citrix Gateway y al dispositivo Citrix ADC.

Solución de problemas de autenticación

Para solucionar problemas de autenticación con el módulo aaad.debug, complete el siguiente procedimiento:

  1. Conéctese a la interfaz de línea de comandos de Citrix Gateway con un cliente de Secure Shell (SSH) como PuTTY.

  2. Ejecute el siguiente comando para cambiar a la línea de comandos: shell
  3. Ejecute el siguiente comando para cambiar al directorio /tmp: cd /tmp
  4. Ejecute el siguiente comando para iniciar el proceso de depuración: cat aaad.debug
  5. Realice el proceso de autenticación que requiera la solución de problemas, como un intento de inicio de sesión del usuario.
  6. Supervise el resultado del comando cat aaad.debug para interpretar y solucionar los problemas del proceso de autenticación.
  7. Detenga el proceso de depuración pulsando Ctrl+Z.
  8. Ejecute el siguiente comando para registrar la salida de aaad.debug en un archivo: cat aaad.debug | tee /var/tmp/<debuglogname>, donde /var/tmp está la ruta de directorio requerida y <debuglogname.log> el nombre de registro requerido.

La siguiente sección proporciona ejemplos de cómo se puede utilizar el módulo aaad.debug para solucionar problemas e interpretar un error de autenticación.

Contraseña incorrecta

En el ejemplo siguiente, el usuario introduce una contraseña RADIUS incorrecta.

process_radius Got RADIUS event
process_radius Received BAD_ACCESS_REJECT for: <username>
process_radius Sending reject.
send_reject_with_code Rejecting with error code 4001
<!--NeedCopy-->

Nombre de usuario no válido

En el ejemplo siguiente, el usuario introduce un nombre de usuario LDAP incorrecto.

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[450]: receive_ldap_user_search_event 1-140: Admin authentication(Bind) succeeded, now attempting to search the user testusernew

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[453]: receive_ldap_user_search_event 1-140: Number of entires in LDAP server response = 0

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[459]: receive_ldap_user_search_event 1-140: ldap_first_entry returned null, user testusernew not found

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4781]: send_reject_with_code 1-140: Not trying cascade again 4009

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4783]: send_reject_with_code 1-140: sending reject to kernel for : testusernew

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4801]: send_reject_with_code 1-140: Rejecting with error code 4009
<!--NeedCopy-->

Determinación de los resultados de la extracción grupal

En el siguiente ejemplo, se pueden determinar los resultados de la extracción grupal. Muchos problemas relacionados con el acceso a grupos AAA implican que el usuario no haya elegido las directivas de sesión correctas para su grupo asignado en un dispositivo Citrix Gateway. Algunas de las razones más comunes para ello incluyen una ortografía incorrecta de AD o el nombre del grupo Radius en el dispositivo y que los usuarios no sean miembros del grupo de seguridad de AD o del servidor Radius.

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[40]:
start_ldap_auth attempting to auth scottli @ 10.12.33.216

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[291]:

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[551]: recieve_ldap_user_search_event built group string for scottli of:Domain Admins
<!--NeedCopy-->

códigos de error del módulo aaad.debug

En la siguiente tabla se enumeran los distintos códigos de error del módulo aaad.debug, la causa del error y la resolución.

códigos de error del módulo aaad.debug Mensaje de error Causa del error La resolución
4001 Credenciales/contraseña incorrectas. Reintentar. Se han suministrado credenciales incorrectas Introduzca las credenciales correctas
4002 No permitido Se trata de un error general. Se produce cuando se produce un error en la operación ldapbind por motivos distintos de las credenciales de usuario incorrectas. Asegúrese de que la operación de enlace esté permitida
4003 No se puede conectar con el servidor. Intenta conectarte de nuevo en unos minutos. Tiempo de espera del servidor Aumente el valor de tiempo de espera del servidor LDAP/RADIUS en Citrix ADC (Autenticación > LDAP/RADIUS > Servidor > Valor de tiempo de espera). El valor de tiempo de espera predeterminado es de 3 segundos.
4004 Error del sistema Error interno de Citrix ADC/Citrix Gateway o error de tiempo de ejecución en la biblioteca del dispositivo Compruebe la causa del error del sistema y vuelva a resolverlo.
4005 Error de enchufe Error de socket al hablar con el servidor de autenticación Asegúrese de que el servidor LDAP/RADIUS o cualquier otro servidor de autenticación pueda escuchar en los puertos mencionados en la acción de autenticación configurada en Citrix ADC. Por ejemplo, un escenario de error común puede ser que un ldapprofile de Citrix ADC esté configurado para usar el puerto 636 /SSL; sin embargo, el mismo puerto no esté abierto en el AD.
4006 Nombre de usuario incorrecto Nombre de usuario incorrecto (con formato) pasado a nsaaad, como un nombre de usuario vacío Introduce el nombre de usuario correcto
4007 Contraseña incorrecta Contraseña incorrecta (de formato) pasada a nsaaad Introduce la contraseña correcta
4008 Las contraseñas no coinciden La contraseña no coincide Introduce la contraseña correcta
4009 No se encontró el usuario No existe ese usuario Inicie sesión con un usuario válido presente en AD
4010 No tiene permiso para iniciar sesión en este momento Horas de inicio de sesión restringidas Inicie sesión fuera del horario restringido
4011 Su cuenta de AD está inhabilitada Cuenta inhabilitada Habilita su cuenta de AD
4012 Su contraseña ha caducado Contraseña caducada Restablecer la contraseña
4013 No tienes permiso para iniciar sesión Sin permiso de acceso telefónico (específico de RADIUS). Esto suele ocurrir si un usuario no está autorizado a autenticarse en un servidor. Es necesario cambiar la configuración de permisos de acceso a la red
4014 No se pudo cambiar la contraseña Error al cambiar la contraseña. Esto puede ocurrir por muchas razones. Uno de esos motivos podría ser intentar cambiar la contraseña mediante el puerto no ssl proporcionado en ldapprofile en Citrix ADC. Asegúrese de que se utilice un puerto y un tipo de segundo seguros para cambiar la contraseña
4015 Su cuenta está bloqueada temporalmente La cuenta de usuario AD está bloqueada Desbloquea su cuenta de AD
4016 No se pudo actualizar la contraseña. La contraseña debe cumplir con los requisitos de longitud, complejidad e historial del dominio. No se cumplen los requisitos de contraseña del usuario al cambiar la contraseña Cumpla con los requisitos necesarios al cambiar la contraseña
4017 Proceso NAC Específico para Microsoft Intune. Citrix Gateway no puede comprobar el dispositivo, ya sea por un error de API o de conectividad. Asegúrese de que los dispositivos administrados de Microsoft Intune estén accesibles en Citrix Gateway
4018 Incumplimiento de NAC Microsoft Intune devuelve un estado que indica que este dispositivo no es compatible Asegúrese de que los dispositivos administrados de Microsoft Intune sean compatibles con Citrix Gateway
4019 NAC no administrado Microsoft Intune devuelve un estado que indica que no se trata de un dispositivo gestionado Asegúrese de que las configuraciones específicas de Microsoft Intune estén implementadas
4020 No se admite la autenticación Este error se observa en caso de una configuración incorrecta. Por ejemplo, Citrix ADC no admite el tipo de autenticación o si la configuración de Authentciationprofile es incorrecta en el dispositivo Citrix ADC o si se intenta realizar una acción contable (RADIUS) para la autenticación. Marque la casilla de verificación Autenticación del servidor de autenticación de Citrix ADC si está desmarcada. Utilice la acción de autenticación adecuada en Citrix ADC.
4021 Cuenta de usuario caducada La cuenta de usuario ha caducado Renueva su cuenta de usuario
4022 La cuenta de usuario está bloqueada por Citrix ADC La cuenta de usuario está bloqueada por Citrix ADC Desbloquee la cuenta mediante el comando unlock aaa user <>
4023 Se ha alcanzado el límite máximo de dispositivos OTP Se ha alcanzado el límite de dispositivos para recibir OTP Intente anular el registro de los dispositivos OTP no requeridos o continúe con los que ya están registrados

Localizar los mensajes de error generados por el sistema Citrix ADC nFactor

Este tema captura información sobre la localización de los mensajes de error generados por el sistema Citrix ADC nFactor. Estos mensajes incluyen las cadenas de error de autenticación extendidas que se obtienen como parte de la retroalimentación de autenticación mejorada.

Las cadenas de error predeterminadas que envía el subsistema nFactor se describen en /var/NetScaler/logon/logonpoint/receiver/js/localization/en/ctxs.strings.js para el idioma inglés. Las cadenas de error de otros idiomas se encuentran en los directorios correspondientes de /var/NetScaler/logon/logonpoint/receiver/js/localization/.

Debe crear un tema de portal basado en la interfaz de usuario de RFWeb para localizar los mensajes de error.

En la línea de comandos, escriba:

add portaltheme custom_error_theme -basetheme RfWebUI

bind authentication vserver av1  -portaltheme custom_error_theme
<!--NeedCopy-->

Tras ejecutar estos comandos, se crea un nuevo directorio en /var/netscaler/logon/themes/<name>. Este directorio contiene un archivo denominado “strings.en.json”. Para empezar, este archivo es un archivo json vacío. El administrador puede agregar pares de nombre-valor compuestos por cadenas de error antiguas y nuevas.

Por ejemplo, { “No hay directiva activa durante la autenticación”: “No hay directiva activa durante la autenticación, póngase en contacto con el administrador” }

En el ejemplo anterior, el texto de la izquierda es el mensaje de error existente que envía nFactor. El texto de la derecha lo sustituye. El administrador puede agregar más mensajes según sea necesario.

Comentarios sobre autenticación mejorada

Para obtener mensajes de error extendidos durante el proceso de autenticación, debe estar habilitada la función EnhancedAuthenticationFeedback.

En la línea de comandos, escriba:

set aaa parameter –enableEnhancedAuthFeedback YES
<!--NeedCopy-->
Solucionar problemas de autenticación, autorización y auditoría