Sugerencia de solución de problemas: Una de las cuentas de usuario SSL-VPN de autenticación de dos factores por SMS con el servidor RADIUS de FortiAuthenticator falló después de introducir el código Token de SMS

Hola amig@s, por aquí César Sánchez y me apetecía escribir sobre:
Sugerencia de solución de problemas: Una de las cuentas de usuario SSL-VPN de autenticación de dos factores por SMS con el servidor RADIUS de FortiAuthenticator falló después de introducir el código Token de SMS

El registro de depuración de FortiAuthenticator:

El mismo registro sigue llegando cada 10 segundos. El bucle de solicitudes de autenticación RADIUS se envía desde el FortiGate (Cliente RADIUS) repetidamente, la dirección IP de 172.20.110.33 es el FortiGate.

2020-09-10T15:45:15.198354+08:00 FortiAuthenticator radiusd[840]: ===>NAS IP:172.20.110.33
2020-09-10T15:45:15.198360+08:00 FortiAuthenticator radiusd[840]: ===>Nombre de usuario:aceraeb
2020-09-10T15:45:15.198365+08:00 FortiAuthenticator radiusd[840]: ===>Timestamp:1599723915.198110, age:0ms
2020-09-10T15:45:15.198372+08:00 FortiAuthenticator radiusd[840]: Encontrado NAS de colecciones precargadas para 172.20.110.33: FGVM (172.20.110.33)
2020-09-10T15:45:15.199042+08:00 FortiAuthenticator radiusd[840]: Encontrado perfil NAS para el cliente, NAS: 172.20.110.33 perfil: Predeterminado
2020-09-10T15:45:15.199382+08:00 FortiAuthenticator radiusd[840]: Estableciendo ‘Auth-Type := FACAUTH’
2020-09-10T15:45:15.199394+08:00 FortiAuthenticator radiusd[840]: [pap] ¡ADVERTENCIA! No se ha encontrado ninguna contraseña «buena conocida» para el usuario. La autenticación puede fallar debido a esto.
2020-09-10T15:45:15.199400+08:00 FortiAuthenticator radiusd[840]: # Ejecutando grupo del archivo /usr/etc/raddb/sites-enabled/default
2020-09-10T15:45:15.199406+08:00 FortiAuthenticator radiusd[840]: Esta es una respuesta a Access-Challenge
2020-09-10T15:45:15.199411+08:00 FortiAuthenticator radiusd[840]: ERROR: usuario de autentificación parcial no encontrado
2020-09-10T15:45:15.199424+08:00 FortiAuthenticator radiusd[840]: Actualizado el registro de autentificación ‘aceraeb’: error de autentificación de usuario: usuario no parcialmente autentificado

2020-09-10T15:45:21.199947+08:00 FortiAuthenticator radiusd[840]: Listo para procesar solicitudes.
2020-09-10T15:45:25.218347+08:00 FortiAuthenticator radiusd[840]: # Ejecutando la sección authorize del archivo /usr/etc/raddb/sites-enabled/default
2020-09-10T15:45:25.218367+08:00 FortiAuthenticator radiusd[840]: ===>NAS IP:172.20.110.33
2020-09-10T15:45:25.218373+08:00 FortiAuthenticator radiusd[840]: ===>Nombre de usuario:aceraeb
2020-09-10T15:45:25.218379+08:00 FortiAuthenticator radiusd[840]: ===>Timestamp:1599723925.218100, age:0ms
2020-09-10T15:45:25.218385+08:00 FortiAuthenticator radiusd[840]: Encontrado NAS de colecciones precargadas para 172.20.110.33: FGVM (172.20.110.33)
2020-09-10T15:45:25.219135+08:00 FortiAuthenticator radiusd[840]: Encontrado perfil NAS para el cliente, NAS: 172.20.110.33 perfil: Predeterminado
2020-09-10T15:45:25.219489+08:00 FortiAuthenticator radiusd[840]: Estableciendo ‘Auth-Type := FACAUTH’
2020-09-10T15:45:25.219501+08:00 FortiAuthenticator radiusd[840]: [pap] ¡ADVERTENCIA! No se ha encontrado ninguna contraseña «buena conocida» para el usuario. La autenticación puede fallar debido a esto.
2020-09-10T15:45:25.219507+08:00 FortiAuthenticator radiusd[840]: # Ejecutando grupo del archivo /usr/etc/raddb/sites-enabled/default
2020-09-10T15:45:25.219513+08:00 FortiAuthenticator radiusd[840]: Esta es una respuesta a Access-Challenge
2020-09-10T15:45:25.219518+08:00 FortiAuthenticator radiusd[840]: ERROR: usuario de autentificación parcial no encontrado
2020-09-10T15:45:25.219532+08:00 FortiAuthenticator radiusd[840]: Actualizado el registro de autentificación ‘aceraeb’: error de autentificación de usuario: usuario no parcialmente autentificado

Artículos relacionados  Configuración de stitch automation para el evento de exceso de ancho de banda entrante y saliente

El registro de depuración aparece continuamente en FortiGate/FortiAuthenticator.


FortiGate:

# diag debug application sslvpn -1
# diag debug application fnbamd -1
# diag debug enable
[1280] __fnbamd_rad_send-Sent radius req to server ‘FAC’: fd=13, IP=172.20.110.34(172.20.110.34:1812) code=1 id=33 len=126 user=»aceraeb» using PAP
[62] handle_rad_timeout-Timer del rad ‘FAC’ es añadido
[46] handle_rad_timeout-rad ‘FAC’ 172.20.110.34 agotado, reenviar solicitud.
[1280] __fnbamd_rad_send-Envió req de radio al servidor ‘FAC’: fd=13, IP=172.20.110.34(172.20.110.34:1812) code=1 id=33 len=126 user=»aceraeb» using PAP
[62] handle_rad_timeout-Timer del rad ‘FAC’ es añadido


FortiAuthenticator:

Registro -> Acceso al registro -> Registros -> Informe de depuración (botón).


FortiAuthenticator radiusd[840]: ===>NAS IP:172.20.110.33
FortiAuthenticator radiusd[840]: ===>Nombre de usuario:aceraeb
FortiAuthenticator radiusd[840]: ===>Timestamp:1599723915.198110, age:0ms
FortiAuthenticator radiusd[840]: Encontrado NAS de las colecciones precargadas para 172.20.110.33: FGVM (172.20.110.33)
FortiAuthenticator radiusd[840]: Se ha encontrado el perfil NAS para el cliente, NAS: perfil 172.20.110.33: Predeterminado
FortiAuthenticator radiusd[840]: Estableciendo ‘Auth-Type := FACAUTH’
FortiAuthenticator radiusd[840]: [pap] ¡ADVERTENCIA! No se ha encontrado ninguna contraseña «buena conocida» para el usuario. La autenticación puede fallar debido a esto.
FortiAuthenticator radiusd[840]: # Ejecutando grupo del archivo /usr/etc/raddb/sites-enabled/default
FortiAuthenticator radiusd[840]: Esta es una respuesta a Access-Challenge
FortiAuthenticator radiusd[840]: ERROR: no se ha encontrado el usuario de autentificación parcial
FortiAuthenticator radiusd[840]: Actualizado el registro de autentificación ‘aceraeb’: error de autentificación de usuario: usuario no autentificado parcialmente


La ejecución de los comandos siguientes muestra que la autenticación ha fallado.


#diag test authserver radius FAC_RADUIS pap aceraeb Password


Después de reiniciar el proceso fnbamd, los mensajes de error ya no aparecen.
La verificación del inicio de sesión SSL-VPN ya funciona.

– El bug de FortiGate V5.6 fue corregido en 6.0.1 GA con el bugID: 0489409 y es un bug de FortiGate.

Artículos relacionados  Consejo para la resolución de problemas: Fallo de vecindad EBGP con IP de bucle de retorno

– Básicamente, la autenticación SSL-VPN a veces resulta en sesiones muertas en el proceso de autenticación RADIUS que es fnbamd, esa es la razón por la que hay que reiniciar el proceso entonces el problema desaparece.

Ocurre cuando hay más de una política de firewall que coincide con el mismo FortiAuthenticator remoto (para el caso) cuando un usuario intenta iniciar sesión con una contraseña no válida o introduce una contraseña incorrecta.

Para terminar, agradecerte que hayas llegado hasta el final de esta publicación. Ojalá que haya sido de ayuda y que nos vuelvas a visitar pronto.
Si no puedes dar con la solución a tu dilema utiliza la barra de búsqueda o déjanos tu pregunta en el cuadro de comentarios.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *