Hola amig@s, por aquí César Sánchez y me apetecía escribir sobre:
Sugerencia de solución de problemas: Una de las cuentas de usuario SSL-VPN de autenticación de dos factores por SMS con el servidor RADIUS de FortiAuthenticator falló después de introducir el código Token de SMS
El registro de depuración de FortiAuthenticator:
El mismo registro sigue llegando cada 10 segundos. El bucle de solicitudes de autenticación RADIUS se envía desde el FortiGate (Cliente RADIUS) repetidamente, la dirección IP de 172.20.110.33 es el FortiGate.
2020-09-10T15:45:15.198354+08:00 FortiAuthenticator radiusd[840]: ===>NAS IP:172.20.110.33
2020-09-10T15:45:15.198360+08:00 FortiAuthenticator radiusd[840]: ===>Nombre de usuario:aceraeb
2020-09-10T15:45:15.198365+08:00 FortiAuthenticator radiusd[840]: ===>Timestamp:1599723915.198110, age:0ms
2020-09-10T15:45:15.198372+08:00 FortiAuthenticator radiusd[840]: Encontrado NAS de colecciones precargadas para 172.20.110.33: FGVM (172.20.110.33)
2020-09-10T15:45:15.199042+08:00 FortiAuthenticator radiusd[840]: Encontrado perfil NAS para el cliente, NAS: 172.20.110.33 perfil: Predeterminado
2020-09-10T15:45:15.199382+08:00 FortiAuthenticator radiusd[840]: Estableciendo ‘Auth-Type := FACAUTH’
2020-09-10T15:45:15.199394+08:00 FortiAuthenticator radiusd[840]: [pap] ¡ADVERTENCIA! No se ha encontrado ninguna contraseña «buena conocida» para el usuario. La autenticación puede fallar debido a esto.
2020-09-10T15:45:15.199400+08:00 FortiAuthenticator radiusd[840]: # Ejecutando grupo del archivo /usr/etc/raddb/sites-enabled/default
2020-09-10T15:45:15.199406+08:00 FortiAuthenticator radiusd[840]: Esta es una respuesta a Access-Challenge
2020-09-10T15:45:15.199411+08:00 FortiAuthenticator radiusd[840]: ERROR: usuario de autentificación parcial no encontrado
2020-09-10T15:45:15.199424+08:00 FortiAuthenticator radiusd[840]: Actualizado el registro de autentificación ‘aceraeb’: error de autentificación de usuario: usuario no parcialmente autentificado
…
2020-09-10T15:45:21.199947+08:00 FortiAuthenticator radiusd[840]: Listo para procesar solicitudes.
2020-09-10T15:45:25.218347+08:00 FortiAuthenticator radiusd[840]: # Ejecutando la sección authorize del archivo /usr/etc/raddb/sites-enabled/default
2020-09-10T15:45:25.218367+08:00 FortiAuthenticator radiusd[840]: ===>NAS IP:172.20.110.33
2020-09-10T15:45:25.218373+08:00 FortiAuthenticator radiusd[840]: ===>Nombre de usuario:aceraeb
2020-09-10T15:45:25.218379+08:00 FortiAuthenticator radiusd[840]: ===>Timestamp:1599723925.218100, age:0ms
2020-09-10T15:45:25.218385+08:00 FortiAuthenticator radiusd[840]: Encontrado NAS de colecciones precargadas para 172.20.110.33: FGVM (172.20.110.33)
2020-09-10T15:45:25.219135+08:00 FortiAuthenticator radiusd[840]: Encontrado perfil NAS para el cliente, NAS: 172.20.110.33 perfil: Predeterminado
2020-09-10T15:45:25.219489+08:00 FortiAuthenticator radiusd[840]: Estableciendo ‘Auth-Type := FACAUTH’
2020-09-10T15:45:25.219501+08:00 FortiAuthenticator radiusd[840]: [pap] ¡ADVERTENCIA! No se ha encontrado ninguna contraseña «buena conocida» para el usuario. La autenticación puede fallar debido a esto.
2020-09-10T15:45:25.219507+08:00 FortiAuthenticator radiusd[840]: # Ejecutando grupo del archivo /usr/etc/raddb/sites-enabled/default
2020-09-10T15:45:25.219513+08:00 FortiAuthenticator radiusd[840]: Esta es una respuesta a Access-Challenge
2020-09-10T15:45:25.219518+08:00 FortiAuthenticator radiusd[840]: ERROR: usuario de autentificación parcial no encontrado
2020-09-10T15:45:25.219532+08:00 FortiAuthenticator radiusd[840]: Actualizado el registro de autentificación ‘aceraeb’: error de autentificación de usuario: usuario no parcialmente autentificado
El registro de depuración aparece continuamente en FortiGate/FortiAuthenticator.
FortiGate:
# diag debug application sslvpn -1
# diag debug application fnbamd -1
# diag debug enable
[1280] __fnbamd_rad_send-Sent radius req to server ‘FAC’: fd=13, IP=172.20.110.34(172.20.110.34:1812) code=1 id=33 len=126 user=»aceraeb» using PAP
[62] handle_rad_timeout-Timer del rad ‘FAC’ es añadido
[46] handle_rad_timeout-rad ‘FAC’ 172.20.110.34 agotado, reenviar solicitud.
[1280] __fnbamd_rad_send-Envió req de radio al servidor ‘FAC’: fd=13, IP=172.20.110.34(172.20.110.34:1812) code=1 id=33 len=126 user=»aceraeb» using PAP
[62] handle_rad_timeout-Timer del rad ‘FAC’ es añadido
FortiAuthenticator:
Registro -> Acceso al registro -> Registros -> Informe de depuración (botón).
FortiAuthenticator radiusd[840]: ===>NAS IP:172.20.110.33
FortiAuthenticator radiusd[840]: ===>Nombre de usuario:aceraeb
FortiAuthenticator radiusd[840]: ===>Timestamp:1599723915.198110, age:0ms
FortiAuthenticator radiusd[840]: Encontrado NAS de las colecciones precargadas para 172.20.110.33: FGVM (172.20.110.33)
FortiAuthenticator radiusd[840]: Se ha encontrado el perfil NAS para el cliente, NAS: perfil 172.20.110.33: Predeterminado
FortiAuthenticator radiusd[840]: Estableciendo ‘Auth-Type := FACAUTH’
FortiAuthenticator radiusd[840]: [pap] ¡ADVERTENCIA! No se ha encontrado ninguna contraseña «buena conocida» para el usuario. La autenticación puede fallar debido a esto.
FortiAuthenticator radiusd[840]: # Ejecutando grupo del archivo /usr/etc/raddb/sites-enabled/default
FortiAuthenticator radiusd[840]: Esta es una respuesta a Access-Challenge
FortiAuthenticator radiusd[840]: ERROR: no se ha encontrado el usuario de autentificación parcial
FortiAuthenticator radiusd[840]: Actualizado el registro de autentificación ‘aceraeb’: error de autentificación de usuario: usuario no autentificado parcialmente
La ejecución de los comandos siguientes muestra que la autenticación ha fallado.
#diag test authserver radius FAC_RADUIS pap aceraeb Password
Después de reiniciar el proceso fnbamd, los mensajes de error ya no aparecen.
La verificación del inicio de sesión SSL-VPN ya funciona.
– El bug de FortiGate V5.6 fue corregido en 6.0.1 GA con el bugID: 0489409 y es un bug de FortiGate.
– Básicamente, la autenticación SSL-VPN a veces resulta en sesiones muertas en el proceso de autenticación RADIUS que es fnbamd, esa es la razón por la que hay que reiniciar el proceso entonces el problema desaparece.
Ocurre cuando hay más de una política de firewall que coincide con el mismo FortiAuthenticator remoto (para el caso) cuando un usuario intenta iniciar sesión con una contraseña no válida o introduce una contraseña incorrecta.
Para terminar, agradecerte que hayas llegado hasta el final de esta publicación. Ojalá que haya sido de ayuda y que nos vuelvas a visitar pronto.
Si no puedes dar con la solución a tu dilema utiliza la barra de búsqueda o déjanos tu pregunta en el cuadro de comentarios.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!