Solucionar problemas de autenticación, autorización y auditoría
Solucionar problemas de autenticación en Citrix ADC y Citrix Gateway con el módulo aaad.debug
La autenticación en Citrix Gateway se gestiona mediante el demonio Autenticación, autorización y auditoría (AAA). Los eventos de autenticación sin procesar que el daemon AAA procesa se pueden supervisar viendo la salida del módulo aaad.debug y sirve como una valiosa herramienta de solución de problemas. aaad.debug es un proceso en lugar de un archivo plano y no muestra los resultados ni los registra. Por lo tanto, el comando cat se puede utilizar para ver la salida de aaad.debug. El proceso de usar nsaaad.debug para solucionar un problema de autenticación suele denominarse “depuración aaad”.
Este proceso es útil para solucionar problemas de autenticación como:
- Errores generales de autenticación
- Fallos de nombre de usuario/contraseña
- Errores de configuración de directivas de autenticación
- Discrepancias de extracción de grupo
Nota: Este proceso se aplica a Citrix Gateway y al dispositivo Citrix ADC.
Solución de problemas de autenticación
Para solucionar problemas de autenticación con el módulo aaad.debug, complete el procedimiento siguiente:
-
Conéctese a la interfaz de línea de comandos de Citrix Gateway con un cliente Secure Shell (SSH) como PuTTY.
- Ejecute el siguiente comando para cambiar al símbolo del shell:
shell - Ejecute el siguiente comando para cambiar al directorio /tmp:
cd /tmp - Ejecute el siguiente comando para iniciar el proceso de depuración:
cat aaad.debug - Realice el proceso de autenticación que requiere la solución de problemas, como un intento de inicio de sesión de usuario.
- Supervise el resultado del comando cat aaad.debug para interpretar y solucionar problemas del proceso de autenticación.
- Detenga el proceso de depuración presionando Ctrl+Z.
- Ejecute el siguiente comando para registrar la salida de
aaad.debugen un archivo:,cat aaad.debug | tee /var/tmp/<debuglogname>donde/var/tmpes la ruta de acceso del directorio requerida y<debuglogname.log>es el nombre de registro requerido.
La siguiente sección proporciona ejemplos de cómo el módulo aaad.debug se puede utilizar para solucionar e interpretar un error de autenticación.
Contraseña incorrecta
En el siguiente ejemplo, el usuario introduce una contraseña RADIUS incorrecta.
process_radius Got RADIUS event
process_radius Received BAD_ACCESS_REJECT for: <username>
process_radius Sending reject.
send_reject_with_code Rejecting with error code 4001
<!--NeedCopy-->
Nombre de usuario no válido
En el ejemplo siguiente, el usuario introduce un nombre de usuario LDAP incorrecto.
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[450]: receive_ldap_user_search_event 1-140: Admin authentication(Bind) succeeded, now attempting to search the user testusernew
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[453]: receive_ldap_user_search_event 1-140: Number of entires in LDAP server response = 0
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[459]: receive_ldap_user_search_event 1-140: ldap_first_entry returned null, user testusernew not found
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4781]: send_reject_with_code 1-140: Not trying cascade again 4009
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4783]: send_reject_with_code 1-140: sending reject to kernel for : testusernew
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4801]: send_reject_with_code 1-140: Rejecting with error code 4009
<!--NeedCopy-->
Determinación de los resultados de extracción de grupo
En el siguiente ejemplo, se pueden determinar los resultados de extracción del grupo. Muchos problemas con el acceso a grupos AAA implican que el usuario no recoja las directivas de sesión correctas para su grupo asignado en un dispositivo Citrix Gateway. Algunos motivos comunes para ello son la ortografía incorrecta de AD o el nombre del grupo Radius en el dispositivo y los usuarios que no son miembros del grupo de seguridad en AD o en el servidor Radius.
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[40]:
start_ldap_auth attempting to auth scottli @ 10.12.33.216
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[291]:
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[551]: recieve_ldap_user_search_event built group string for scottli of:Domain Admins
<!--NeedCopy-->
códigos de error del módulo aaad.debug
En la tabla siguiente se enumeran los diversos códigos de error del módulo aaad.debug, la causa del error y la resolución.
| códigos de error del módulo aaad.debug | Mensaje de error | Causa del error | Solución: |
|---|---|---|---|
| 4001 | Credenciales o contraseña incorrectos. Reintentar. | Se proporcionan credenciales incorrectas | Introduzca las credenciales correctas |
| 4002 | No permitido | Este es un error de captura de todos. Se produce cuando la operación ldapbind falla por razones distintas a las credenciales de usuario incorrectas. | Asegúrese de que la operación de enlace esté permitida |
| 4003 | No se puede conectar al servidor. Intente conectarse de nuevo en unos minutos. | El tiempo de espera del servidor | Aumente el valor de tiempo de espera del servidor LDAP/Radius en Citrix ADC (Autenticación > LDAP/Radius > Servidor > Valor de tiempo de espera). El valor de tiempo de espera predeterminado es de 3 segundos. |
| 4004 | Error del sistema | Error interno de Citrix ADC/Citrix Gateway o un error de tiempo de ejecución en la biblioteca del dispositivo | Compruebe la causa del error del sistema y vuelva a amar el mismo |
| 4005 | Error de socket | Error de socket al hablar con el servidor de autenticación | Asegúrese de que el servidor LDAP/RADIUS o cualquier otro servidor de autenticación pueda escuchar en los puertos mencionados en la acción de autenticación configurada en Citrix ADC. Por ejemplo, un caso de error común puede ser que un ldapprofile en Citrix ADC esté configurado para usar el puerto 636 /SSL, sin embargo, el mismo puerto no está abierto en AD. |
| 4006 | Nombre de usuario incorrecto | Nombre de usuario incorrecto (formato) pasado a nsaaad, como nombre de usuario vacío | Introduzca el nombre de usuario correcto |
| 4007 | Contraseña incorrecta | Contraseña incorrecta (formato) pasada a nsaaad | Introduzca la contraseña correcta |
| 4008 | Las contraseñas no coinciden | Contraseña no coincide | Introduzca la contraseña correcta |
| 4009 | Usuario no encontrado | Este usuario no existe | Iniciar sesión con un usuario válido presente en AD |
| 4010 | No tiene permiso para iniciar una sesión en este momento | Horas de inicio de sesión restringidas | Inicie sesión fuera de las horas restringidas |
| 4011 | Su cuenta de AD está inhabilitada | Cuenta desactivada | Habilitar su cuenta de AD |
| 4012 | La contraseña ha caducado | Contraseña caducada | Restablecer la contraseña |
| 4013 | No tiene permiso para iniciar sesión | Sin permiso de acceso telefónico (específico de RADIUS). Esto suele suceder si un usuario no está autorizado a autenticarse en un servidor. | Es necesario cambiar la configuración de permisos de acceso a la red |
| 4014 | No se ha podido cambiar la contraseña | Error al cambiar la contraseña. Esto puede suceder debido a muchas razones. Una de esas razones podría ser intentar cambiar la contraseña mediante el puerto no ssl proporcionado en ldapprofile en Citrix ADC. | Asegúrese de que se utiliza el puerto seguro y el tipo de segundos para cambiar la contraseña |
| 4015 | Su cuenta está bloqueada temporalmente | La cuenta de usuario AD está bloqueada | Desbloquee su cuenta de AD |
| 4016 | No se pudo actualizar su contraseña. La contraseña debe cumplir los requisitos de longitud, complejidad e historial del dominio. | No se cumplen los requisitos de contraseña de usuario al cambiar la contraseña | Cumplir con los requisitos necesarios al cambiar la contraseña |
| 4017 | Proceso NAC | Específico de Microsoft Intune. Citrix Gateway no puede verificar el dispositivo, ya sea debido a un error de API o a un error de conectividad. | Asegúrese de que los dispositivos administrados de Microsoft Intune sean accesibles a Citrix Gateway |
| 4018 | Incumplimiento de NAC | Microsoft Intune devuelve un estado que indica que este dispositivo no es compatible | Asegúrese de que los dispositivos administrados de Microsoft Intune sean compatibles con Citrix Gateway |
| 4019 | NAC no administrado | Microsoft Intune devuelve un estado que indica que este no es un dispositivo administrado | Asegúrese de que las configuraciones específicas de Microsoft Intune estén en su lugar |
| 4020 | Autenticación no admitida | Este error se ve en caso de mala configuración. Por ejemplo, Citrix ADC no admite el tipo de autenticación o si la configuración Authentciationprofile es incorrecta en el dispositivo Citrix ADC o si se intenta realizar una acción de contabilidad (radio) para la autenticación. | Marque la casilla de verificación Autenticación del servidor de autenticación en Citrix ADC si está desactivada. Utilice la acción de autenticación adecuada en Citrix ADC. |
| 4021 | Cuenta de usuario caducada | La cuenta de usuario ha caducado | Renovar su cuenta de usuario |
| 4022 | Citrix ADC bloquea la cuenta de usuario | Citrix ADC bloquea la cuenta de usuario | Desbloquear la cuenta mediante el comando unlock aaa user <> |
| 4023 | Límite máximo de dispositivo OTP alcanzado | Límite de dispositivo para recibir OTP alcanzado | Intente anular el registro de los dispositivos OTP no requeridos o continúe con los ya registrados |
Localizar mensajes de error generados por el sistema Citrix ADC nFactor
En este tema se captura información sobre la localización de mensajes de error generados por el sistema Citrix ADC nFactor. Estos mensajes incluyen las cadenas de error de autenticación extendida que se obtienen como parte de la retroalimentación de autenticación mejorada.
Las cadenas de error predeterminadas que se envían por el subsistema NFactor se describen en /var/NetScaler/LogonPoint/Receiver/js/Localization/es/ctxs.strings.js para el idioma inglés. Las cadenas de error para otros idiomas se encuentran en los directorios correspondientes en /var/NetScaler/logon/LogonPoint/Receiver/js/Localization/.
Debe crear un tema de portal basado en RFWeb UI para localizar mensajes de error.
En el símbolo del sistema, escriba:
add portaltheme custom_error_theme -basetheme RfWebUI
bind authentication vserver av1 -portaltheme custom_error_theme
<!--NeedCopy-->
Después de ejecutar estos comandos, se crea un nuevo directorio en /var/netscaler/logon/themes/<name>. Este directorio contiene un archivo llamado “strings.en.json”. Este archivo es un archivo json vacío para empezar. El administrador puede agregar pares nombre-valor que incluyan cadenas de error antiguas y nuevas.
Por ejemplo, { “No active policy during authentication”: “No active policy during authentication, Please contact administrator” }
En el ejemplo anterior, el texto del lado izquierdo es el mensaje de error existente que se envía por nFactor. El texto del lado derecho es el reemplazo de eso. El administrador puede agregar más mensajes según sea necesario.
Comentarios de autenticación mejorados
Para obtener mensajes de error extendidos durante el proceso de autenticación, la función EnhancedAuthenticationFeedback debe estar habilitada.
En el símbolo del sistema, escriba:
set aaa parameter –enableEnhancedAuthFeedback YES
<!--NeedCopy-->