Solucionar problemas de autenticación en Citrix ADC y Citrix Gateway con el módulo aaad.debug

En esta sección se describe cómo solucionar problemas de autenticación en Citrix ADC y Citrix Gateway con el módulo aaad.debug.

Fondo

La autenticación en Citrix Gateway se gestiona mediante el demonio Autenticación, autorización y auditoría (AAA). Los eventos de autenticación sin procesar que el daemon AAA procesa se pueden supervisar viendo la salida del módulo aaad.debug y sirve como una valiosa herramienta de solución de problemas. aaad.debug es una canalización en lugar de un archivo plano y no muestra los resultados ni los registra. Por lo tanto, el comando cat se puede utilizar para ver la salida de aaad.debug. El proceso de usar nsaaad.debug para solucionar un problema de autenticación suele denominarse “depuración aaad”.

Proceso de depuración mediante el módulo aaad.debug

Este proceso es útil para solucionar problemas de autenticación como:

  • Errores generales de autenticación
  • Fallos de nombre de usuario/contraseña
  • Errores de configuración de directivas de autenticación
  • Discrepancias de extracción de grupo

Nota: Este proceso se aplica a Citrix Gateway y al dispositivo Citrix ADC.

Solución de problemas de autenticación

Para solucionar problemas de autenticación con el módulo aaad.debug, complete el procedimiento siguiente:

  1. Conéctese a la interfaz de línea de comandos de Citrix Gateway con un cliente Secure Shell (SSH) como PuTTY.

  2. Ejecute el siguiente comando para cambiar al símbolo del shell:shell
  3. Ejecute el siguiente comando para cambiar al directorio /tmp:cd /tmp
  4. Ejecute el siguiente comando para iniciar el proceso de depuración:cat aaad.debug
  5. Realice el proceso de autenticación que requiere la solución de problemas, como un intento de inicio de sesión de usuario.
  6. Supervise el resultado del comando cat aaad.debug para interpretar y solucionar problemas del proceso de autenticación.
  7. Detenga el proceso de depuración presionando Ctrl+Z.
  8. Ejecute el siguiente comando para registrar la salida deaaad.debug en un archivo:, cat aaad.debug | tee /var/tmp/<debuglogname>donde /var/tmp es la ruta de acceso del directorio requerida y <debuglogname.log> es el nombre de registro requerido.

La siguiente sección proporciona ejemplos de cómo el módulo aaad.debug se puede utilizar para solucionar e interpretar un error de autenticación.

Contraseña incorrecta

En el ejemplo siguiente, el usuario introduce una contraseña incorrecta del Protocolo ligero de acceso a directorios (LDAP).

process_radius Got RADIUS event
process_radius Received BAD_ACCESS_REJECT for: <username>
process_radius Sending reject.
send_reject_with_code Rejecting with error code 4001

Nombre de usuario no válido

En el ejemplo siguiente, el usuario introduce un nombre de usuario LDAP incorrecto.

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[450]: receive_ldap_user_search_event 1-140: Admin authentication(Bind) succeeded, now attempting to search the user testusernew

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[453]: receive_ldap_user_search_event 1-140: Number of entires in LDAP server response = 0

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[459]: receive_ldap_user_search_event 1-140: ldap_first_entry returned null, user testusernew not found

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4781]: send_reject_with_code 1-140: Not trying cascade again 4009

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4783]: send_reject_with_code 1-140: sending reject to kernel for : testusernew

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4801]: send_reject_with_code 1-140: Rejecting with error code 4009

Determinación de los resultados de extracción de grupo

En el siguiente ejemplo, se pueden determinar los resultados de extracción del grupo. Muchos problemas con el acceso a grupos AAA implican que el usuario no recoja las directivas de sesión correctas para su grupo asignado en un dispositivo Citrix Gateway. Algunos motivos comunes para ello son la ortografía incorrecta de AD o el nombre del grupo Radius en el dispositivo y los usuarios que no son miembros del grupo de seguridad en AD o en el servidor Radius.

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[40]:
start_ldap_auth attempting to auth scottli @ 10.12.33.216

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[291]:

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[551]: recieve_ldap_user_search_event built group string for scottli of:Domain Admins

códigos de error del módulo aaad.debug

En la tabla siguiente se enumeran los diversos códigos de error del módulo aaad.debug, la causa del error y la resolución.

códigos de error del módulo aaad.debug Mensaje de error Causa del error Resolución
4001 Credenciales o contraseña incorrectos. Reintentar. Se proporcionan credenciales incorrectas Introduzca las credenciales correctas
4002 No permitido Este es un error de captura de todos. Se produce cuando la operación ldapbind falla por razones distintas a las credenciales de usuario incorrectas. Asegúrese de que la operación de enlace esté permitida
4003 No se puede conectar al servidor. Intente conectarse de nuevo en unos minutos. El tiempo de espera del servidor Aumente el valor de tiempo de espera del servidor LDAP/Radius en Citrix ADC (Autenticación > LDAP/Radius > Servidor > Valor de tiempo de espera). El valor de tiempo de espera predeterminado es de 3 segundos.
4004 Error del sistema Error interno de Citrix ADC/Citrix Gateway o un error de tiempo de ejecución en la biblioteca del dispositivo Compruebe la causa del error del sistema y vuelva a amar el mismo
4005 Error de socket Error de socket al hablar con el servidor de autenticación Asegúrese de que el servidor LDAP/RADIUS o cualquier otro servidor de autenticación pueda escuchar en los puertos mencionados en la acción de autenticación configurada en Citrix ADC. Por ejemplo, un escenario de error común puede ser que un ldapprofile en Citrix ADC esté configurado para usar el puerto 636 /SSL, sin embargo, el mismo puerto no está abierto en AD.
4006 Nombre de usuario incorrecto Nombre de usuario incorrecto (formato) pasado a nsaaad, como nombre de usuario vacío Introduzca el nombre de usuario correcto
4007 Contraseña incorrecta Contraseña incorrecta (formato) pasada a nsaaad Introduzca la contraseña correcta
4008 Las contraseñas no coinciden Contraseña no coincide Introduzca la contraseña correcta
4009 Usuario no encontrado Este usuario no existe Iniciar sesión con un usuario válido presente en AD
4010 No tiene permiso para iniciar una sesión en este momento Horas de inicio de sesión restringidas Inicie sesión fuera de las horas restringidas
4011 Su cuenta de AD está inhabilitada Cuenta desactivada Habilitar tu cuenta de AD
4012 La contraseña ha caducado Contraseña caducada Restablecer la contraseña
4013 No tiene permiso para iniciar sesión Sin permiso de acceso telefónico (específico de RADIUS). Esto suele suceder si un usuario no está autorizado a autenticarse en un servidor. Es necesario cambiar la configuración de permisos de acceso a la red
4014 No se ha podido cambiar la contraseña Error al cambiar la contraseña. Esto puede suceder debido a muchas razones. Una de esas razones podría ser intentar cambiar la contraseña mediante el puerto no ssl proporcionado en ldapprofile en Citrix ADC. Asegúrese de que se utiliza el puerto seguro y el tipo de segundos para cambiar la contraseña
4015 Su cuenta está bloqueada temporalmente La cuenta de usuario AD está bloqueada Desbloquee su cuenta de AD
4016 No se pudo actualizar su contraseña. La contraseña debe cumplir los requisitos de longitud, complejidad e historial del dominio. No se cumplen los requisitos de contraseña de usuario al cambiar la contraseña Cumplir con los requisitos necesarios al cambiar la contraseña
4017 Proceso NAC Específico de Microsoft Intune. Citrix Gateway no puede verificar el dispositivo, ya sea debido a un error de API o a un error de conectividad. Asegúrese de que los dispositivos administrados de Microsoft Intune sean accesibles a Citrix Gateway
4018 Incumplimiento de NAC Microsoft Intune devuelve un estado que indica que este dispositivo no es compatible Asegúrese de que los dispositivos administrados de Microsoft Intune sean compatibles con Citrix Gateway
4019 NAC no administrado Microsoft Intune devuelve un estado que indica que este no es un dispositivo administrado Asegúrese de que las configuraciones específicas de Microsoft Intune estén en su lugar
4020 Autenticación no admitida Este error se ve en caso de mala configuración. Por ejemplo, Citrix ADC no admite el tipo de autenticación o si la configuración Authentciationprofile es incorrecta en el dispositivo Citrix ADC o si se intenta realizar una acción de contabilidad (radio) para la autenticación. Marque la casilla de verificación Autenticación del servidor de autenticación en Citrix ADC si está desactivada. Utilice la acción de autenticación adecuada en Citrix ADC.
4021 Cuenta de usuario caducada La cuenta de usuario ha caducado Renovar tu cuenta de usuario
4022 Citrix ADC bloquea la cuenta de usuario Citrix ADC bloquea la cuenta de usuario Desbloquear la cuenta mediante el comando unlock aaa user <>
4023 Límite máximo de dispositivo OTP alcanzado Límite de dispositivo para recibir OTP alcanzado Intente anular el registro de los dispositivos OTP no requeridos o continúe con los ya registrados

Solucionar problemas de autenticación en Citrix ADC y Citrix Gateway con el módulo aaad.debug