ADC

Résoudre les problèmes d’authentification, d’autorisation et d’audit

Résoudre les problèmes d’authentification dans Citrix ADC et NetScaler Gateway avec le module aaad.debug

L’authentification dans Citrix Gateway est gérée par le démon d’authentification, d’autorisation et d’audit (AAA). Les événements d’authentification bruts traités par le démon AAA peuvent être surveillés en consultant la sortie du module aaad.debug et constituent un outil de dépannage précieux. Le fichier aaad.debug est un tube par opposition à un fichier plat qui n’affiche pas les résultats et ne les enregistre pas. Par conséquent, la commande cat peut être utilisée pour afficher la sortie de aaad.debug. Le processus d’utilisation de nsaaad.debug pour résoudre un problème d’authentification est généralement appelé « débogage aaad ».

Processus de débogage à l'aide du module aaad.debug

Ce processus est utile pour résoudre les problèmes d’authentification tels que :

  • Erreurs d’authentification générales
  • Défaillances liées au nom d’utilisateur ou au mot
  • Erreurs de configuration de la stratégie d’authentification
  • Divergences d’extraction de groupes

Remarque : ce processus s’applique à Citrix Gateway et à l’appliance Citrix ADC.

Résolution des problèmes d’authentification

Pour résoudre les problèmes d’authentification avec le module aaad.debug, procédez comme suit :

  1. Connectez-vous à l’interface de ligne de commande Citrix Gateway à l’aide d’un client Secure Shell (SSH) tel que PuTTY.

  2. Exécutez la commande suivante pour passer à l’invite du shell : shell
  3. Exécutez la commande suivante pour accéder au répertoire /tmp : cd /tmp
  4. Exécutez la commande suivante pour démarrer le processus de débogage : cat aaad.debug
  5. Exécutez le processus d’authentification qui nécessite un dépannage, tel qu’une tentative d’ouverture de session utilisateur.
  6. Surveillez la sortie de la commande cat aaad.debug pour interpréter et résoudre les problèmes liés au processus d’authentification.
  7. Arrêtez le processus de débogage en appuyant sur Ctrl+Z.
  8. Exécutez la commande suivante pour enregistrer la sortie aaad.debug dans un fichier : cat aaad.debug | tee /var/tmp/<debuglogname>, où /var/tmp est le chemin de répertoire requis et <debuglogname.log> le nom de journal requis.

La section suivante fournit des exemples de la façon dont le module aaad.debug peut être utilisé pour résoudre et interpréter une erreur d’authentification.

Mot de passe incorrect

Dans l’exemple suivant, l’utilisateur saisit un mot de passe RADIUS incorrect.

process_radius Got RADIUS event
process_radius Received BAD_ACCESS_REJECT for: <username>
process_radius Sending reject.
send_reject_with_code Rejecting with error code 4001
<!--NeedCopy-->

Nom d’utilisateur non valide

Dans l’exemple suivant, l’utilisateur saisit un nom d’utilisateur LDAP incorrect.

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[450]: receive_ldap_user_search_event 1-140: Admin authentication(Bind) succeeded, now attempting to search the user testusernew

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[453]: receive_ldap_user_search_event 1-140: Number of entires in LDAP server response = 0

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[459]: receive_ldap_user_search_event 1-140: ldap_first_entry returned null, user testusernew not found

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4781]: send_reject_with_code 1-140: Not trying cascade again 4009

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4783]: send_reject_with_code 1-140: sending reject to kernel for : testusernew

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4801]: send_reject_with_code 1-140: Rejecting with error code 4009
<!--NeedCopy-->

Détermination des résultats d’extraction de groupes

Dans l’exemple suivant, les résultats de l’extraction de groupes peuvent être déterminés. De nombreux problèmes liés à l’accès aux groupes AAA impliquent que l’utilisateur ne choisit pas les stratégies de session appropriées pour le groupe qui lui est attribué dans une appliance Citrix Gateway. Cela s’explique notamment par une orthographe incorrecte d’AD ou du nom du groupe Radius dans l’appliance et par le fait que les utilisateurs ne sont pas membres du groupe de sécurité dans AD ou sur le serveur Radius.

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[40]:
start_ldap_auth attempting to auth scottli @ 10.12.33.216

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[291]:

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[551]: recieve_ldap_user_search_event built group string for scottli of:Domain Admins
<!--NeedCopy-->

Codes d’erreur du module aaad.debug

Le tableau suivant répertorie les différents codes d’erreur du module aaad.debug, la cause de l’erreur et la résolution.

Codes d’erreur du module aaad.debug Message d’erreur Cause de l’erreur Résolution
4001 Identifiants/mot de passe incorrects. Réessayez. Des informations d’identification incorrectes sont fournies Entrez les informations d’identification correctes
4002 Non autorisé Il s’agit d’une erreur de type « catch all error ». Se produit lorsque l’opération ldapbind échoue pour des raisons autres que des informations d’identification utilisateur incorrectes. Assurez-vous que l’opération de liaison est autorisée
4003 Impossible de se connecter au serveur. Essayez de vous reconnecter dans quelques minutes. Le serveur expire Augmentez la valeur du délai d’expiration du serveur LDAP/RADIUS sur Citrix ADC (Authentification > LDAP/RADIUS > Serveur > Valeur du délai d’expiration). La valeur du délai d’expiration par défaut est de 3 secondes.
4004 Erreur système Erreur interne Citrix ADC/Citrix Gateway ou erreur d’exécution dans la bibliothèque de l’appliance Vérifiez la cause de l’erreur système et résolvez-la
4005 Erreur de socket Erreur de socket lors de la conversation avec le serveur d’authentification Assurez-vous que le serveur LDAP/RADIUS ou tout autre serveur d’authentification peut écouter sur les ports mentionnés dans l’action d’authentification configurée sur Citrix ADC. Par exemple, un scénario d’erreur courant peut être qu’un fichier ldapro sur Citrix ADC soit configuré pour utiliser le port 636 /SSL, alors que le même port n’est pas ouvert sur l’AD.
4006 Nom d’utilisateur incorrect Nom d’utilisateur (format) incorrect transmis à nsaaad, comme un nom d’utilisateur vide Entrez le nom d’utilisateur correct
4007 Mot de passe incorrect Mot de passe (format) incorrect transmis à nsaaad Entrez le mot de passe correct
4008 Les mots de passe ne correspondent pas Incompatibilité des mots de passe Entrez le mot de passe correct
4009 Utilisateur non trouvé Aucun utilisateur de ce type Connectez-vous à l’aide d’un utilisateur valide présent dans AD
4010 Vous n’êtes pas autorisé à vous connecter pour le moment Heures d’ouverture de session restreintes Connectez-vous en dehors des heures restreintes
4011 Votre compte AD est désactivé Compte désactivé Activez votre compte AD
4012 Votre mot de passe a expiré Mot de passe expiré Réinitialiser votre mot de passe
4013 Vous n’êtes pas autorisé à vous connecter Aucune autorisation d’appel (spécifique à RADIUS). Cela se produit généralement si un utilisateur n’est pas autorisé à s’authentifier sur un serveur. Le paramètre d’autorisation d’accès au réseau doit être modifié
4014 Impossible de modifier votre mot de passe Erreur lors de la modification du mot de passe. Cela peut se produire pour de nombreuses raisons. L’une de ces raisons peut être d’essayer de modifier le mot de passe à l’aide du port non SSL fourni dans ldapprofile sur Citrix ADC. Assurez-vous que le port sécurisé et le type sec sont utilisés pour modifier le mot de passe
4015 Votre compte est temporairement bloqué Le compte AD de l’utilisateur est verrouillé Débloquez votre compte AD
4016 Impossible de mettre à jour votre mot de passe. Le mot de passe doit respecter les exigences de longueur, de complexité et d’historique du domaine. Les exigences relatives au mot de passe utilisateur ne sont pas respectées lors du changement de mot de passe Répondez aux exigences requises lors de la modification du mot de passe
4017 Processus NAC Spécifique à Microsoft Intune. Citrix Gateway n’est pas en mesure de vérifier l’appareil, en raison d’une défaillance de l’API ou d’une défaillance de connectivité. Assurez-vous que les appareils gérés par Microsoft Intune sont accessibles à Citrix Gateway
4018 Non-conformité au NAC Microsoft Intune renvoie un état indiquant que cet appareil n’est pas un appareil compatible Assurez-vous que les appareils gérés par Microsoft Intune sont conformes à Citrix Gateway
4019 NAC non géré Microsoft Intune renvoie un état indiquant qu’il ne s’agit pas d’un appareil géré Assurez-vous que les configurations spécifiques à Microsoft Intune sont en place
4020 Authentification non prise en charge Cette erreur est visible en cas de mauvaise configuration. Par exemple, le type d’authentification n’est pas pris en charge par Citrix ADC ou si la configuration du profil d’authentification est incorrecte sur l’appliance Citrix ADC ou si une action comptable (RADIUS) est tentée à des fins d’authentification. Cochez la case Authentification pour le serveur d’authentification sur Citrix ADC si elle n’est pas cochée. Utilisez l’action d’authentification appropriée sur Citrix ADC.
4021 Compte utilisateur expiré Le compte utilisateur a expiré Renouvelez votre compte utilisateur
4022 Le compte utilisateur est verrouillé par Citrix ADC Le compte utilisateur est verrouillé par Citrix ADC Déverrouillez le compte à l’aide de la commande Unlock aaa user <>
4023 Limite maximale d’appareils OTP atteinte La limite d’appareils pour la réception de l’OTP a été atteinte Essayez d’annuler l’enregistrement des appareils OTP non requis ou continuez avec ceux déjà enregistrés

Localiser les messages d’erreur générés par le système Citrix ADC nFactor

Cette rubrique contient des informations sur la localisation des messages d’erreur générés par le système Citrix ADC nFactor. Ces messages incluent les chaînes d’erreur d’authentification étendues qui sont obtenues dans le cadre des commentaires d’authentification améliorés.

Les chaînes d’erreur par défaut envoyées par le sous-système nFactor sont décrites dans /var/netscaler/logon/logonpoint/receiver/js/localization/en/CTXS.strings.js pour la langue anglaise. Les chaînes d’erreur pour les autres langues se trouvent dans les répertoires correspondants dans /var/netscaler/logon/logonpoint/receiver/js/localization/.

Vous devez créer un thème de portail basé sur l’interface utilisateur de RFWeb pour localiser les messages d’erreur.

À l’invite de commandes, tapez :

add portaltheme custom_error_theme -basetheme RfWebUI

bind authentication vserver av1  -portaltheme custom_error_theme
<!--NeedCopy-->

Une fois ces commandes exécutées, un nouveau répertoire est créé dans /var/netscaler/logon/themes/<name>. Ce répertoire contient un fichier nommé « strings.en.json ». Ce fichier est un fichier json vide pour commencer. L’administrateur peut ajouter des paires nom-valeur composées d’anciennes et de nouvelles chaînes d’erreur.

Par exemple, { « Aucune stratégie active pendant l’authentification » : « Aucune stratégie active pendant l’authentification, veuillez contacter l’administrateur » }

Dans l’exemple précédent, le texte sur le côté gauche est le message d’erreur existant envoyé par nFactor. Le texte sur le côté droit le remplace. L’administrateur peut ajouter d’autres messages selon les besoins.

Feedback d’authentification amélioré

Pour obtenir des messages d’erreur étendus pendant le processus d’authentification, la fonctionnalité EnhancedAuthenticationFeedback doit être activée.

À l’invite de commandes, tapez :

set aaa parameter –enableEnhancedAuthFeedback YES
<!--NeedCopy-->
Résoudre les problèmes d’authentification, d’autorisation et d’audit