Beheben von Problemen bei der Authentifizierung, Autorisierung und Prüfung
Beheben von Authentifizierungsproblemen in Citrix ADC und Citrix Gateway mit dem Modul aaad.debug
Die Authentifizierung in Citrix Gateway wird vom AAA (Authentication, Authorization and Auditing) -Daemon verarbeitet. Die RAW-Authentifizierungsereignisse, die AAA Daemon verarbeitet, können durch Anzeigen der Ausgabe des aaad.debug-Moduls überwacht werden und dienen als wertvolles Tool zur Fehlerbehebung. Der aaad.debug ist eine Pipe im Gegensatz zu einer flachen Datei und zeigt die Ergebnisse nicht an oder protokolliert sie nicht. Daher kann der cat-Befehl verwendet werden, um die Ausgabe von aaad.debug anzuzeigen. Der Prozess der Verwendung von nsaaad.debug zur Behebung eines Authentifizierungsproblems wird in der Regel als “Debugging aaad” bezeichnet.
Dieser Prozess ist nützlich für die Behebung von Authentifizierungsproblemen wie:
- Allgemeine Authentifizierungsfehler
- Benutzername/Kennwortfehler
- Konfigurationsfehler der Authentifizierungsrichtlinie
- Gruppenextraktionsdiskrepanzen
Hinweis: Dieser Vorgang gilt für Citrix Gateway und Citrix ADC Appliance.
Problembehandlung bei Authentifizierungsproblemen
Führen Sie folgende Schritte aus, um die Authentifizierung mit dem Modul aaad.debug zu beheben:
-
Stellen Sie eine Verbindung zur Citrix Gateway -Befehlszeilenschnittstelle mit einem Secure Shell (SSH-) Client wie PuTTY her.
- Führen Sie den folgenden Befehl aus, um zur Shell-Eingabeaufforderung zu wechseln:
shell - Führen Sie den folgenden Befehl aus, um in das Verzeichnis /tmp zu wechseln:
cd /tmp - Führen Sie den folgenden Befehl aus, um den Debugging-Prozess zu starten:
cat aaad.debug - Führen Sie den Authentifizierungsprozess durch, der eine Problembehandlung erfordert, z. B. einen Benutzeranmeldeversuch.
- Überwachen Sie die Ausgabe des Befehls cat aaad.debug, um den Authentifizierungsprozess zu interpretieren und zu beheben.
- Beenden Sie den Debugging-Prozess, indem Sie Strg+Z drücken.
- Führen Sie den folgenden Befehl aus, um die Ausgabe von
aaad.debugin eine Datei aufzuzeichnen:cat aaad.debug | tee /var/tmp/<debuglogname>, wobei/var/tmpder erforderliche Verzeichnispfad und<debuglogname.log>der erforderliche Protokollname ist.
Der folgende Abschnitt enthält Beispiele dafür, wie das Modul aaad.debug verwendet werden kann, um einen Authentifizierungsfehler zu beheben und zu interpretieren.
Falsches Kennwort
Im folgenden Beispiel gibt der Benutzer ein falsches RADIUS-Kennwort ein.
process_radius Got RADIUS event
process_radius Received BAD_ACCESS_REJECT for: <username>
process_radius Sending reject.
send_reject_with_code Rejecting with error code 4001
<!--NeedCopy-->
Ungültiger Benutzername
Im folgenden Beispiel gibt der Benutzer einen falschen LDAP-Benutzernamen ein.
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[450]: receive_ldap_user_search_event 1-140: Admin authentication(Bind) succeeded, now attempting to search the user testusernew
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[453]: receive_ldap_user_search_event 1-140: Number of entires in LDAP server response = 0
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[459]: receive_ldap_user_search_event 1-140: ldap_first_entry returned null, user testusernew not found
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4781]: send_reject_with_code 1-140: Not trying cascade again 4009
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4783]: send_reject_with_code 1-140: sending reject to kernel for : testusernew
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4801]: send_reject_with_code 1-140: Rejecting with error code 4009
<!--NeedCopy-->
Ermitteln der Gruppenextraktionsergebnisse
Im folgenden Beispiel können die Ergebnisse der Gruppenextraktion ermittelt werden. Viele Probleme mit AAA-Gruppenzugriff beinhalten, dass der Benutzer nicht die richtigen Sitzungsrichtlinien für die zugewiesene Gruppe in einer Citrix Gateway Appliance aufnimmt. Einige häufige Gründe dafür sind eine falsche Schreibweise von AD oder der Radius-Gruppenname in der Appliance und Benutzer, die nicht Mitglied der Sicherheitsgruppe in AD oder dem Radius-Server sind.
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[40]:
start_ldap_auth attempting to auth scottli @ 10.12.33.216
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[291]:
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[551]: recieve_ldap_user_search_event built group string for scottli of:Domain Admins
<!--NeedCopy-->
Fehlercodes des aaad.debug-Moduls
In der folgenden Tabelle sind die verschiedenen Fehlercodes des aaad.debug-Moduls, die Ursache für den Fehler und die Auflösung aufgeführt.
| Fehlercodes des aaad.debug-Moduls | Fehlermeldung | Fehlerursache | Lösung |
|---|---|---|---|
| 4001 | Falsche Anmeldeinformationen bzw. Kennwort. Versuchen Sie es erneut. | Falsche Anmeldeinformationen werden angegeben | Geben Sie die richtigen Anmeldeinformationen ein |
| 4002 | Nicht zulässig | Dies ist ein catch-all-Fehler. Tritt auf, wenn ldapbind-Vorgang aus anderen Gründen als falschen Benutzeranmeldeinformationen fehlschlägt. | Stellen Sie sicher, dass der Bind-Vorgang zulässig ist |
| 4003 | Verbindung zum Server kann nicht hergestellt werden. Versuchen Sie es in wenigen Minuten erneut. | Serverzeitabschwingen | Erhöhen Sie den LDAP/Radius-Server-Timeoutwert auf Citrix ADC (Authentifizierung > LDAP/Radius > Server > Timeoutwert). Der Standardwert für den Timeout beträgt 3 Sekunden. |
| 4004 | Systemfehler | Interner Citrix ADC/Citrix Gateway Fehler oder Laufzeitfehler in der Appliance-Bibliothek | Überprüfen Sie die Ursache des Systemfehlers und lieben Sie den gleichen |
| 4005 | Socketfehler | Socket-Fehler beim Sprechen mit dem Authentifizierungsserver | Stellen Sie sicher, dass LDAP/RADIUS-Server oder andere Authentifizierungsserver die Ports überwachen können, die in der Authentifizierungsaktion, die auf Citrix ADC konfiguriert ist. Ein häufiges Fehlerszenario kann beispielsweise sein, dass eine ldapprofile auf Citrix ADC für die Verwendung von Port 636 /SSL konfiguriert ist, der gleiche Port jedoch nicht auf dem AD geöffnet ist. |
| 4006 | Falscher Benutzername | Ungültiger (Format-) Benutzername, der an nsaaad übergeben wird, wie leerer Benutzername | Geben Sie den richtigen Benutzernamen ein |
| 4007 | Falsches Kennwort | Ungültiges (Format-) Kennwort an nsaaad übergeben | Geben Sie das richtige Kennwort ein |
| 4008 | Kennwörter stimmen nicht überein | Kennwort stimmt nicht überein | Geben Sie das richtige Kennwort ein |
| 4009 | Benutzer nicht gefunden | Benutzer nicht vorhanden | Melden Sie sich mit einem gültigen Benutzer an, der in AD vorhanden ist |
| 4010 | Sie sind zurzeit nicht zur Anmeldung berechtigt | Eingeschränkte Anmeldezeiten | Melden Sie sich außerhalb der eingeschränkten Öffnungszeiten an |
| 4011 | Ihr AD-Konto ist deaktiviert | Konto deaktiviert | Aktivieren des AD-Kontos |
| 4012 | Ihr Kennwort ist abgelaufen. | Kennwort ist abgelaufen | Zurücksetzen des Kennworts |
| 4013 | Sie haben keine Berechtigung, sich anzumelden | Keine Einwählberechtigung (RADIUS-spezifisch). Dies geschieht normalerweise, wenn ein Benutzer nicht zur Authentifizierung auf einem Server autorisiert ist. | Die Einstellung der Netzwerkzugriffsberechtigung muss geändert werden |
| 4014 | Kennwort konnte nicht geändert werden | Fehler beim Ändern des Kennworts. Dies kann aus vielen Gründen passieren. Ein solcher Grund könnte der Versuch sein, das Kennwort mithilfe des nicht SSL-Ports zu ändern, der in ldapprofile auf Citrix ADC bereitgestellt wird. | Sicherstellen, dass der sichere Port und Sec-Typ für das Ändern des Kennworts verwendet werden |
| 4015 | Ihr Konto ist vorübergehend gesperrt | Benutzer-AD-Konto ist gesperrt | Freigeben Ihres AD-Kontos |
| 4016 | Das Kennwort konnte nicht aktualisiert werden. Das Kennwort muss die Länge, Komplexität und Verlaufsanforderungen der Domäne erfüllen. | Benutzerkennwortanforderungen beim Ändern des Kennworts nicht erfüllt | Erfüllen Sie die erforderlichen Anforderungen beim Ändern des Kennworts |
| 4017 | NAC-Prozess | Microsoft Intune spezifisch. Citrix Gateway kann das Gerät aufgrund eines API-Fehlers oder eines Verbindungsfehlers nicht überprüfen. | Stellen Sie sicher, dass von Microsoft Intune verwaltete Geräte für Citrix Gateway erreichbar sind |
| 4018 | Nichteinhaltung der NAC-Richtlinien | Microsoft Intune gibt einen Status zurück, der besagt, dass dieses Gerät nicht kompatibel ist Gerät | Stellen Sie sicher, dass von Microsoft Intune verwaltete Geräte mit Citrix Gateway kompatibel sind |
| 4019 | NAC nicht verwaltet | Microsoft Intune gibt einen Status zurück, der besagt, dass dies kein verwaltetes Gerät ist | Stellen Sie sicher, dass Microsoft Intune-spezifische Konfigurationen vorhanden sind |
| 4020 | Authentifizierung nicht unterstützt | Dieser Fehler wird im Falle einer Fehlkonfiguration angezeigt. Beispielsweise wird der Authentifizierungstyp von Citrix ADC nicht unterstützt oder wenn die Authentciationprofile-Konfiguration auf der Citrix ADC-Appliance falsch ist oder wenn Accounting-Aktion (Radius) zur Authentifizierung versucht wird. | Aktivieren Sie das Kontrollkästchen Authentifizierung für den Authentifizierungsserver auf Citrix ADC, wenn die Option deaktiviert ist. Verwenden Sie die entsprechende Authentifizierungsaktion auf Citrix ADC. |
| 4021 | Benutzerkonto abgelaufen | Das Benutzerkonto ist abgelaufen | Verlängern Sie Ihr Benutzerkonto |
| 4022 | Benutzerkonto wird von Citrix ADC gesperrt | Das Benutzerkonto wird von Citrix ADC gesperrt | Entsperren des Kontos mit dem Befehl “Unlock aaa user <>” |
| 4023 | Maximaler Grenzwert für OTP-Geräte erreicht | Gerätelimit für den Empfang von OTP erreicht | Versuchen Sie entweder, die nicht benötigten OTP-Geräte aufzuheben oder fahren Sie mit den bereits registrierten Geräten fort. |
Lokalisieren von Fehlermeldungen, die vom Citrix ADC nFactor-System generiert werden
In diesem Thema werden Informationen zum Lokalisieren von Fehlermeldungen erfasst, die vom Citrix ADC nFactor System generiert werden. Diese Meldungen umfassen die erweiterten Authentifizierungsfehlerzeichenfolgen, die als Teil des erweiterten Authentifizierungsfeedbacks erhalten werden.
Die Standardfehlerzeichenfolgen, die vom Subsystem nFactor gesendet werden, werden in /var/netscaler/logon/logonpoint/receiver/js/localization/de/ctxs.strings.js für die englische Sprache beschrieben. Fehlerzeichenfolgen für andere Sprachen finden Sie in den entsprechenden Verzeichnissen in /var/netscaler/logon/logonPoint/receiver/js/localization/.
Sie müssen ein Portaldesign basierend auf der RFWeb-Benutzeroberfläche erstellen, um Fehlermeldungen zu lokalisieren.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add portaltheme custom_error_theme -basetheme RfWebUI
bind authentication vserver av1 -portaltheme custom_error_theme
<!--NeedCopy-->
Nachdem diese Befehle ausgeführt wurden, wird ein neues Verzeichnis in /var/netscaler/logon/themes/ erstellt<name>. Dieses Verzeichnis enthält eine Datei namens strings.en.json. Diese Datei ist eine leere JSON-Datei zu Beginn. Der Administrator kann Name-Wert-Paare aus alten und neuen Fehlerzeichenfolgen hinzufügen.
Beispiel: { Keine aktive Richtlinie während der Authentifizierung: Keine aktive Richtlinie während der Authentifizierung, Bitte wenden Sie sich an den Administrator }
Im vorangegangenen Beispiel ist Text auf der linken Seite die vorhandene Fehlermeldung, die von nFactor gesendet wird. Der Text auf der rechten Seite ist der Ersatz dafür. Der Administrator kann bei Bedarf weitere Nachrichten hinzufügen.
Verbessertes Feedback zur Authentifizierung
Um erweiterte Fehlermeldungen während des Authentifizierungsprozesses zu erhalten, muss die Funktion EnhancedAuthenticationFeedback aktiviert sein.
Geben Sie an der Eingabeaufforderung Folgendes ein:
set aaa parameter –enableEnhancedAuthFeedback YES
<!--NeedCopy-->