Solucionar problemas de autenticación, autorización y auditoría
Solucionar problemas de autenticación en Citrix ADC y Citrix Gateway con el módulo aaad.debug
La autenticación en Citrix Gateway se gestiona mediante el daemon de autenticación, autorización y auditoría (AAA). Los eventos de autenticación sin procesar que procesa el daemon AAA se pueden supervisar consultando el resultado del módulo aaad.debug y sirven como una valiosa herramienta de solución de problemas. El aaad.debug es una barra vertical, no un archivo plano, y no muestra los resultados ni los registra. Por lo tanto, el comando cat se puede utilizar para ver la salida de aaad.debug. El proceso de uso de nsaaad.debug para solucionar un problema de autenticación normalmente se denomina “depuración aaad”.
Este proceso es útil para solucionar problemas de autenticación como:
- Errores de autenticación generales
- Fallos de nombre de usuario/contraseña
- Errores de configuración de la directiva de autenticación
- Discrepancias en la extracción de grupos
Nota: Este proceso se aplica a Citrix Gateway y al dispositivo Citrix ADC.
Solución de problemas de autenticación
Para solucionar problemas de autenticación con el módulo aaad.debug, complete el siguiente procedimiento:
-
Conéctese a la interfaz de línea de comandos de Citrix Gateway con un cliente de Secure Shell (SSH) como PuTTY.
- Ejecute el siguiente comando para cambiar a la línea de comandos:
shell - Ejecute el siguiente comando para cambiar al directorio /tmp:
cd /tmp - Ejecute el siguiente comando para iniciar el proceso de depuración:
cat aaad.debug - Realice el proceso de autenticación que requiera la solución de problemas, como un intento de inicio de sesión del usuario.
- Supervise el resultado del comando cat aaad.debug para interpretar y solucionar los problemas del proceso de autenticación.
- Detenga el proceso de depuración pulsando Ctrl+Z.
- Ejecute el siguiente comando para registrar la salida de
aaad.debugen un archivo:cat aaad.debug | tee /var/tmp/<debuglogname>, donde/var/tmpestá la ruta de directorio requerida y<debuglogname.log>el nombre de registro requerido.
La siguiente sección proporciona ejemplos de cómo se puede utilizar el módulo aaad.debug para solucionar problemas e interpretar un error de autenticación.
Contraseña incorrecta
En el ejemplo siguiente, el usuario introduce una contraseña RADIUS incorrecta.
process_radius Got RADIUS event
process_radius Received BAD_ACCESS_REJECT for: <username>
process_radius Sending reject.
send_reject_with_code Rejecting with error code 4001
<!--NeedCopy-->
Nombre de usuario no válido
En el ejemplo siguiente, el usuario introduce un nombre de usuario LDAP incorrecto.
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[450]: receive_ldap_user_search_event 1-140: Admin authentication(Bind) succeeded, now attempting to search the user testusernew
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[453]: receive_ldap_user_search_event 1-140: Number of entires in LDAP server response = 0
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[459]: receive_ldap_user_search_event 1-140: ldap_first_entry returned null, user testusernew not found
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4781]: send_reject_with_code 1-140: Not trying cascade again 4009
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4783]: send_reject_with_code 1-140: sending reject to kernel for : testusernew
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4801]: send_reject_with_code 1-140: Rejecting with error code 4009
<!--NeedCopy-->
Determinación de los resultados de la extracción grupal
En el siguiente ejemplo, se pueden determinar los resultados de la extracción grupal. Muchos problemas relacionados con el acceso a grupos AAA implican que el usuario no haya elegido las directivas de sesión correctas para su grupo asignado en un dispositivo Citrix Gateway. Algunas de las razones más comunes para ello incluyen una ortografía incorrecta de AD o el nombre del grupo Radius en el dispositivo y que los usuarios no sean miembros del grupo de seguridad de AD o del servidor Radius.
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[40]:
start_ldap_auth attempting to auth scottli @ 10.12.33.216
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[291]:
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[551]: recieve_ldap_user_search_event built group string for scottli of:Domain Admins
<!--NeedCopy-->
códigos de error del módulo aaad.debug
En la siguiente tabla se enumeran los distintos códigos de error del módulo aaad.debug, la causa del error y la resolución.
| códigos de error del módulo aaad.debug | Mensaje de error | Causa del error | La resolución |
|---|---|---|---|
| 4001 | Credenciales/contraseña incorrectas. Reintentar. | Se han suministrado credenciales incorrectas | Introduzca las credenciales correctas |
| 4002 | No permitido | Se trata de un error general. Se produce cuando se produce un error en la operación ldapbind por motivos distintos de las credenciales de usuario incorrectas. | Asegúrese de que la operación de enlace esté permitida |
| 4003 | No se puede conectar con el servidor. Intenta conectarte de nuevo en unos minutos. | Tiempo de espera del servidor | Aumente el valor de tiempo de espera del servidor LDAP/RADIUS en Citrix ADC (Autenticación > LDAP/RADIUS > Servidor > Valor de tiempo de espera). El valor de tiempo de espera predeterminado es de 3 segundos. |
| 4004 | Error del sistema | Error interno de Citrix ADC/Citrix Gateway o error de tiempo de ejecución en la biblioteca del dispositivo | Compruebe la causa del error del sistema y vuelva a resolverlo. |
| 4005 | Error de enchufe | Error de socket al hablar con el servidor de autenticación | Asegúrese de que el servidor LDAP/RADIUS o cualquier otro servidor de autenticación pueda escuchar en los puertos mencionados en la acción de autenticación configurada en Citrix ADC. Por ejemplo, un escenario de error común puede ser que un ldapprofile de Citrix ADC esté configurado para usar el puerto 636 /SSL; sin embargo, el mismo puerto no esté abierto en el AD. |
| 4006 | Nombre de usuario incorrecto | Nombre de usuario incorrecto (con formato) pasado a nsaaad, como un nombre de usuario vacío | Introduce el nombre de usuario correcto |
| 4007 | Contraseña incorrecta | Contraseña incorrecta (de formato) pasada a nsaaad | Introduce la contraseña correcta |
| 4008 | Las contraseñas no coinciden | La contraseña no coincide | Introduce la contraseña correcta |
| 4009 | No se encontró el usuario | No existe ese usuario | Inicie sesión con un usuario válido presente en AD |
| 4010 | No tiene permiso para iniciar sesión en este momento | Horas de inicio de sesión restringidas | Inicie sesión fuera del horario restringido |
| 4011 | Su cuenta de AD está inhabilitada | Cuenta inhabilitada | Habilita su cuenta de AD |
| 4012 | Su contraseña ha caducado | Contraseña caducada | Restablecer la contraseña |
| 4013 | No tienes permiso para iniciar sesión | Sin permiso de acceso telefónico (específico de RADIUS). Esto suele ocurrir si un usuario no está autorizado a autenticarse en un servidor. | Es necesario cambiar la configuración de permisos de acceso a la red |
| 4014 | No se pudo cambiar la contraseña | Error al cambiar la contraseña. Esto puede ocurrir por muchas razones. Uno de esos motivos podría ser intentar cambiar la contraseña mediante el puerto no ssl proporcionado en ldapprofile en Citrix ADC. | Asegúrese de que se utilice un puerto y un tipo de segundo seguros para cambiar la contraseña |
| 4015 | Su cuenta está bloqueada temporalmente | La cuenta de usuario AD está bloqueada | Desbloquea su cuenta de AD |
| 4016 | No se pudo actualizar la contraseña. La contraseña debe cumplir con los requisitos de longitud, complejidad e historial del dominio. | No se cumplen los requisitos de contraseña del usuario al cambiar la contraseña | Cumpla con los requisitos necesarios al cambiar la contraseña |
| 4017 | Proceso NAC | Específico para Microsoft Intune. Citrix Gateway no puede comprobar el dispositivo, ya sea por un error de API o de conectividad. | Asegúrese de que los dispositivos administrados de Microsoft Intune estén accesibles en Citrix Gateway |
| 4018 | Incumplimiento de NAC | Microsoft Intune devuelve un estado que indica que este dispositivo no es compatible | Asegúrese de que los dispositivos administrados de Microsoft Intune sean compatibles con Citrix Gateway |
| 4019 | NAC no administrado | Microsoft Intune devuelve un estado que indica que no se trata de un dispositivo gestionado | Asegúrese de que las configuraciones específicas de Microsoft Intune estén implementadas |
| 4020 | No se admite la autenticación | Este error se observa en caso de una configuración incorrecta. Por ejemplo, Citrix ADC no admite el tipo de autenticación o si la configuración de Authentciationprofile es incorrecta en el dispositivo Citrix ADC o si se intenta realizar una acción contable (RADIUS) para la autenticación. | Marque la casilla de verificación Autenticación del servidor de autenticación de Citrix ADC si está desmarcada. Utilice la acción de autenticación adecuada en Citrix ADC. |
| 4021 | Cuenta de usuario caducada | La cuenta de usuario ha caducado | Renueva su cuenta de usuario |
| 4022 | La cuenta de usuario está bloqueada por Citrix ADC | La cuenta de usuario está bloqueada por Citrix ADC | Desbloquee la cuenta mediante el comando unlock aaa user <> |
| 4023 | Se ha alcanzado el límite máximo de dispositivos OTP | Se ha alcanzado el límite de dispositivos para recibir OTP | Intente anular el registro de los dispositivos OTP no requeridos o continúe con los que ya están registrados |
Localizar los mensajes de error generados por el sistema Citrix ADC nFactor
Este tema captura información sobre la localización de los mensajes de error generados por el sistema Citrix ADC nFactor. Estos mensajes incluyen las cadenas de error de autenticación extendidas que se obtienen como parte de la retroalimentación de autenticación mejorada.
Las cadenas de error predeterminadas que envía el subsistema nFactor se describen en /var/NetScaler/logon/logonpoint/receiver/js/localization/en/ctxs.strings.js para el idioma inglés. Las cadenas de error de otros idiomas se encuentran en los directorios correspondientes de /var/NetScaler/logon/logonpoint/receiver/js/localization/.
Debe crear un tema de portal basado en la interfaz de usuario de RFWeb para localizar los mensajes de error.
En la línea de comandos, escriba:
add portaltheme custom_error_theme -basetheme RfWebUI
bind authentication vserver av1 -portaltheme custom_error_theme
<!--NeedCopy-->
Tras ejecutar estos comandos, se crea un nuevo directorio en /var/netscaler/logon/themes/<name>. Este directorio contiene un archivo denominado “strings.en.json”. Para empezar, este archivo es un archivo json vacío. El administrador puede agregar pares de nombre-valor compuestos por cadenas de error antiguas y nuevas.
Por ejemplo, { “No hay directiva activa durante la autenticación”: “No hay directiva activa durante la autenticación, póngase en contacto con el administrador” }
En el ejemplo anterior, el texto de la izquierda es el mensaje de error existente que envía nFactor. El texto de la derecha lo sustituye. El administrador puede agregar más mensajes según sea necesario.
Comentarios sobre autenticación mejorada
Para obtener mensajes de error extendidos durante el proceso de autenticación, debe estar habilitada la función EnhancedAuthenticationFeedback.
En la línea de comandos, escriba:
set aaa parameter –enableEnhancedAuthFeedback YES
<!--NeedCopy-->