Beheben von Authentifizierungsproblemen in Citrix ADC und Citrix Gateway mit dem Modul aaad.debug

In diesem Abschnitt wird beschrieben, wie Sie Authentifizierungsprobleme in Citrix ADC und Citrix Gateway mit dem Modul aaad.debug beheben.

Hintergrund

Die Authentifizierung in Citrix Gateway wird vom AAA (Authentication, Authorization and Auditing) -Daemon verarbeitet. Die RAW-Authentifizierungsereignisse, die AAA Daemon verarbeitet, können durch Anzeigen der Ausgabe des aaad.debug-Moduls überwacht werden und dienen als wertvolles Tool zur Fehlerbehebung. Der aaad.debug ist eine Pipe im Gegensatz zu einer flachen Datei und zeigt die Ergebnisse nicht an oder protokolliert sie nicht. Daher kann der cat-Befehl verwendet werden, um die Ausgabe von aaad.debug anzuzeigen. Der Prozess der Verwendung von nsaaad.debug zur Behebung eines Authentifizierungsproblems wird in der Regel als “Debugging aaad” bezeichnet.

Debug-Prozess mit dem Modul aaad.debug

Dieser Prozess ist nützlich für die Behebung von Authentifizierungsproblemen wie:

  • Allgemeine Authentifizierungsfehler
  • Benutzername/Kennwortfehler
  • Konfigurationsfehler der Authentifizierungsrichtlinie
  • Gruppenextraktionsdiskrepanzen

Hinweis: Dieser Vorgang gilt für Citrix Gateway und Citrix ADC Appliance.

Problembehandlung bei Authentifizierungsproblemen

Führen Sie folgende Schritte aus, um die Authentifizierung mit dem Modul aaad.debug zu beheben:

  1. Stellen Sie eine Verbindung zur Citrix Gateway -Befehlszeilenschnittstelle mit einem Secure Shell (SSH-) Client wie PuTTY her.

  2. Führen Sie den folgenden Befehl aus, um zur Shell-Eingabeaufforderung zu wechseln: shell
  3. Führen Sie den folgenden Befehl aus, um in das Verzeichnis /tmp zu wechseln: cd /tmp
  4. Führen Sie den folgenden Befehl aus, um den Debugging-Prozess zu starten: cat aaad.debug
  5. Führen Sie den Authentifizierungsprozess durch, der eine Problembehandlung erfordert, z. B. einen Benutzeranmeldeversuch.
  6. Überwachen Sie die Ausgabe des Befehls cat aaad.debug, um den Authentifizierungsprozess zu interpretieren und zu beheben.
  7. Beenden Sie den Debugging-Prozess, indem Sie Strg+Z drücken.
  8. Führen Sie den folgenden Befehl aus, um die Ausgabe von aaad.debug in eine Datei aufzuzeichnen:, cat aaad.debug | tee /var/tmp/<debuglogname>wobei /var/tmp der erforderliche Verzeichnispfad und <debuglogname.log> der erforderliche Protokollname ist.

Der folgende Abschnitt enthält Beispiele dafür, wie das Modul aaad.debug verwendet werden kann, um einen Authentifizierungsfehler zu beheben und zu interpretieren.

Falsches Kennwort

Im folgenden Beispiel gibt der Benutzer ein falsches LDAP-Kennwort (Lightweight Directory Access Protocol) ein.

process_radius Got RADIUS event
process_radius Received BAD_ACCESS_REJECT for: <username>
process_radius Sending reject.
send_reject_with_code Rejecting with error code 4001

Ungültiger Benutzername

Im folgenden Beispiel gibt der Benutzer einen falschen LDAP-Benutzernamen ein.

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[450]: receive_ldap_user_search_event 1-140: Admin authentication(Bind) succeeded, now attempting to search the user testusernew

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[453]: receive_ldap_user_search_event 1-140: Number of entires in LDAP server response = 0

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[459]: receive_ldap_user_search_event 1-140: ldap_first_entry returned null, user testusernew not found

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4781]: send_reject_with_code 1-140: Not trying cascade again 4009

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4783]: send_reject_with_code 1-140: sending reject to kernel for : testusernew

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4801]: send_reject_with_code 1-140: Rejecting with error code 4009

Ermitteln der Gruppenextraktionsergebnisse

Im folgenden Beispiel können die Ergebnisse der Gruppenextraktion ermittelt werden. Viele Probleme mit AAA-Gruppenzugriff beinhalten, dass der Benutzer nicht die richtigen Sitzungsrichtlinien für die zugewiesene Gruppe in einer Citrix Gateway Appliance aufnimmt. Einige häufige Gründe dafür sind eine falsche Schreibweise von AD oder der Radius-Gruppenname in der Appliance und Benutzer, die nicht Mitglied der Sicherheitsgruppe in AD oder dem Radius-Server sind.

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[40]:
start_ldap_auth attempting to auth scottli @ 10.12.33.216

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[291]:

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[551]: recieve_ldap_user_search_event built group string for scottli of:Domain Admins

Fehlercodes des aaad.debug-Moduls

In der folgenden Tabelle sind die verschiedenen Fehlercodes des aaad.debug-Moduls, die Ursache für den Fehler und die Auflösung aufgeführt.

Fehlercodes des aaad.debug-Moduls Fehlermeldung Fehlerursache Auflösung
4001 Falsche Anmeldeinformationen bzw. Kennwort. Versuchen Sie es erneut. Falsche Anmeldeinformationen werden angegeben Geben Sie die richtigen Anmeldeinformationen ein
4002 Nicht zulässig Dies ist ein catch-all-Fehler. Tritt auf, wenn ldapbind-Vorgang aus anderen Gründen als falschen Benutzeranmeldeinformationen fehlschlägt. Stellen Sie sicher, dass der Bind-Vorgang zulässig ist
4003 Verbindung zum Server kann nicht hergestellt werden. Versuchen Sie es in wenigen Minuten erneut. Serverzeitabschwingen Erhöhen Sie den LDAP/Radius-Server-Timeoutwert auf Citrix ADC (Authentifizierung > LDAP/Radius > Server > Timeoutwert). Der Standardwert für den Timeout beträgt 3 Sekunden.
4004 Systemfehler Interner Citrix ADC/Citrix Gateway Fehler oder Laufzeitfehler in der Appliance-Bibliothek Überprüfen Sie die Ursache des Systemfehlers und lieben Sie den gleichen
4005 Socketfehler Socket-Fehler beim Sprechen mit dem Authentifizierungsserver Stellen Sie sicher, dass LDAP/RADIUS-Server oder andere Authentifizierungsserver die Ports überwachen können, die in der Authentifizierungsaktion, die auf Citrix ADC konfiguriert ist. Ein häufiges Fehlerszenario kann beispielsweise sein, dass eine ldapprofile auf Citrix ADC für die Verwendung von Port 636 /SSL konfiguriert ist, der gleiche Port jedoch nicht auf dem AD geöffnet ist.
4006 Falscher Benutzername Ungültiger (Format-) Benutzername, der an nsaaad übergeben wird, wie leerer Benutzername Geben Sie den richtigen Benutzernamen ein
4007 Falsches Kennwort Ungültiges (Format-) Kennwort an nsaaad übergeben Geben Sie das richtige Kennwort ein
4008 Kennwörter stimmen nicht überein Kennwort stimmt nicht überein Geben Sie das richtige Kennwort ein
4009 Benutzer nicht gefunden Benutzer nicht vorhanden Melden Sie sich mit einem gültigen Benutzer an, der in AD vorhanden ist
4010 Sie sind zurzeit nicht zur Anmeldung berechtigt Eingeschränkte Anmeldezeiten Melden Sie sich außerhalb der eingeschränkten Öffnungszeiten an
4011 Ihr AD-Konto ist deaktiviert Konto deaktiviert Aktivieren des AD-Kontos
4012 Ihr Kennwort ist abgelaufen. Kennwort ist abgelaufen Zurücksetzen des Kennworts
4013 Sie haben keine Berechtigung, sich anzumelden Keine Einwählberechtigung (RADIUS-spezifisch). Dies geschieht normalerweise, wenn ein Benutzer nicht zur Authentifizierung auf einem Server autorisiert ist. Die Einstellung der Netzwerkzugriffsberechtigung muss geändert werden
4014 Kennwort konnte nicht geändert werden Fehler beim Ändern des Kennworts. Dies kann aus vielen Gründen passieren. Ein solcher Grund könnte der Versuch sein, das Kennwort mithilfe des nicht SSL-Ports zu ändern, der in ldapprofile auf Citrix ADC bereitgestellt wird. Sicherstellen, dass der sichere Port und Sec-Typ für das Ändern des Kennworts verwendet werden
4015 Ihr Konto ist vorübergehend gesperrt Benutzer-AD-Konto ist gesperrt Freigeben Ihres AD-Kontos
4016 Das Kennwort konnte nicht aktualisiert werden. Das Kennwort muss die Länge, Komplexität und Verlaufsanforderungen der Domäne erfüllen. Benutzerkennwortanforderungen beim Ändern des Kennworts nicht erfüllt Erfüllen Sie die erforderlichen Anforderungen beim Ändern des Kennworts
4017 NAC-Prozess Microsoft Intune spezifisch. Citrix Gateway kann das Gerät aufgrund eines API-Fehlers oder eines Verbindungsfehlers nicht überprüfen. Stellen Sie sicher, dass von Microsoft Intune verwaltete Geräte für Citrix Gateway erreichbar sind
4018 Nichteinhaltung der NAC-Richtlinien Microsoft Intune gibt einen Status zurück, der besagt, dass dieses Gerät nicht kompatibel ist Gerät Stellen Sie sicher, dass von Microsoft Intune verwaltete Geräte mit Citrix Gateway kompatibel sind
4019 NAC nicht verwaltet Microsoft Intune gibt einen Status zurück, der besagt, dass dies kein verwaltetes Gerät ist Stellen Sie sicher, dass Microsoft Intune-spezifische Konfigurationen vorhanden sind
4020 Authentifizierung nicht unterstützt Dieser Fehler wird im Falle einer Fehlkonfiguration angezeigt. Beispielsweise wird der Authentifizierungstyp von Citrix ADC nicht unterstützt oder wenn die Authentciationprofile-Konfiguration auf der Citrix ADC-Appliance falsch ist oder wenn Accounting-Aktion (Radius) zur Authentifizierung versucht wird. Aktivieren Sie das Kontrollkästchen Authentifizierung für den Authentifizierungsserver auf Citrix ADC, wenn die Option deaktiviert ist. Verwenden Sie die entsprechende Authentifizierungsaktion auf Citrix ADC.
4021 Benutzerkonto abgelaufen Das Benutzerkonto ist abgelaufen Verlängern Sie Ihr Benutzerkonto
4022 Benutzerkonto wird von Citrix ADC gesperrt Das Benutzerkonto wird von Citrix ADC gesperrt Entsperren des Kontos mit dem Befehl “Unlock aaa user <>”
4023 Maximaler Grenzwert für OTP-Geräte erreicht Gerätelimit für den Empfang von OTP erreicht Versuchen Sie entweder, die nicht benötigten OTP-Geräte aufzuheben oder fahren Sie mit den bereits registrierten Geräten fort.