Citrix ADC

Résoudre les problèmes d’authentification dans Citrix ADC et Citrix Gateway avec le module aaad.debug

Cette section décrit comment résoudre les problèmes d’authentification dans Citrix ADC et Citrix Gateway avec le module aaad.debug.

Arrière-plan

L’authentification dans Citrix Gateway est gérée par le démon d’authentification, d’autorisation et d’audit (AAA). Les événements d’authentification bruts que les processus de démon AAA peuvent être surveillés en affichant la sortie du module aaad.debug et servent d’outil de dépannage précieux. Le aaad.debug est un tuyau par opposition à un fichier plat et n’affiche pas les résultats ni ne les consigne. Par conséquent, la commande cat peut être utilisée pour afficher la sortie de aaad.debug. Le processus d’utilisation de nsaaad.debug pour résoudre un problème d’authentification est généralement appelé « débogage aaad ».

Processus de débogage à l'aide du module aaad.debug

Ce processus est utile pour résoudre les problèmes d’authentification tels que :

  • Erreurs d’authentification générales
  • Échec du nom d’utilisateur/mot de passe
  • Erreurs de configuration de stratégie d’authentification
  • Discordance d’extraction de groupe

Remarque : Ce processus s’applique aux appliances Citrix Gateway et Citrix ADC.

Résolution des problèmes d’authentification

Pour résoudre les problèmes d’authentification avec le module aaad.debug, procédez comme suit :

  1. Connectez-vous à l’interface de ligne de commande Citrix Gateway avec un client Secure Shell (SSH) tel que PuTTY.

  2. Exécutez la commande suivante pour passer à l’invite de shell : shell
  3. Exécutez la commande suivante pour passer au répertoire /tmp : cd /tmp
  4. Exécutez la commande suivante pour démarrer le processus de débogage : cat aaad.debug
  5. Effectuez le processus d’authentification qui nécessite un dépannage, par exemple une tentative d’ouverture de session utilisateur.
  6. Surveillez la sortie de la commande cat aaad.debug pour interpréter et dépanner le processus d’authentification.
  7. Arrêtez le processus de débogage en appuyant sur Ctrl+Z.
  8. Exécutez la commande suivante pour enregistrer la sortie de aaad.debug dans un fichier : cat aaad.debug | tee /var/tmp/<debuglogname>, où /var/tmp est le chemin du répertoire requis et <debuglogname.log> le nom du journal requis.

La section suivante fournit des exemples de la façon dont le module aaad.debug peut être utilisé pour résoudre et interpréter une erreur d’authentification.

Mot de passe incorrect

Dans l’exemple suivant, l’utilisateur saisit un mot de passe RADIUS incorrect.

process_radius Got RADIUS event
process_radius Received BAD_ACCESS_REJECT for: <username>
process_radius Sending reject.
send_reject_with_code Rejecting with error code 4001

Nom d’utilisateur non valide

Dans l’exemple suivant, l’utilisateur entre un nom d’utilisateur LDAP incorrect.

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[450]: receive_ldap_user_search_event 1-140: Admin authentication(Bind) succeeded, now attempting to search the user testusernew

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[453]: receive_ldap_user_search_event 1-140: Number of entires in LDAP server response = 0

/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[459]: receive_ldap_user_search_event 1-140: ldap_first_entry returned null, user testusernew not found

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4781]: send_reject_with_code 1-140: Not trying cascade again 4009

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4783]: send_reject_with_code 1-140: sending reject to kernel for : testusernew

/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4801]: send_reject_with_code 1-140: Rejecting with error code 4009

Détermination des résultats d’extraction de groupe

Dans l’exemple suivant, les résultats d’extraction de groupe peuvent être déterminés. De nombreux problèmes liés à l’accès au groupe AAA impliquent que l’utilisateur ne récupère pas les stratégies de session correctes pour son groupe affecté dans une appliance Citrix Gateway. Ceci est souvent dû à l’orthographe incorrecte d’AD ou du nom du groupe Radius dans l’appliance et aux utilisateurs qui ne sont pas membres du groupe de sécurité dans AD ou le serveur Radius.

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[40]:
start_ldap_auth attempting to auth scottli @ 10.12.33.216

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[291]:

/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[551]: recieve_ldap_user_search_event built group string for scottli of:Domain Admins

Codes d’erreur du module aaad.debug

Le tableau suivant répertorie les différents codes d’erreur du module aaad.debug, la cause de l’erreur et la résolution.

Codes d’erreur du module aaad.debug Message d’erreur Cause de l’erreur Résolution
4001 Informations d’identification et mot de passe incorrects. Réessayez. Informations d’identification incorrectes sont fournies Entrez les informations d’identification correctes
4002 Non autorisé Ceci est une erreur catch all. Se produit lorsque l’opération ldapbind échoue pour des raisons autres que les informations d’identification utilisateur incorrectes. Assurez-vous que l’opération de liaison est autorisée
4003 Impossible de se connecter au serveur. Essayez de vous connecter à nouveau dans quelques minutes. Délais d’attente du serveur Augmentez la valeur de délai d’expiration du serveur LDAP/Radius sur Citrix ADC (Authentification > LDAP/Radius > Serveur > Valeur de délai d’expiration). La valeur du délai d’expiration par défaut est de 3 secondes.
4004 Erreur système Erreur interne Citrix ADC/Citrix Gateway ou erreur d’exécution dans la bibliothèque de l’appliance Vérifiez la cause de l’erreur système et résolvez-la
4005 Erreur de socket Erreur de socket lors de la conversation avec le serveur d’authentification Assurez-vous que le serveur LDAP/RADIUS ou tout autre serveur d’authentification peut écouter sur les ports mentionnés dans l’action d’authentification configurée sur Citrix ADC. Par exemple, un scénario d’erreur courant peut être qu’un ldapprofile sur Citrix ADC est configuré pour utiliser le port 636 /SSL, mais le même port n’est pas ouvert sur l’AD.
4006 Nom d’utilisateur incorrect Nom d’utilisateur incorrect (format) passé à nsaaad, comme nom d’utilisateur vide Entrez le nom d’utilisateur correct
4007 Mot de passe incorrect Mot de passe incorrect (format) transmis à nsaaad Entrez le mot de passe correct
4008 Les mots de passe ne correspondent pas Correspondance de mot de passe Entrez le mot de passe correct
4009 Utilisateur introuvable Cet utilisateur n’existe pas Connexion à l’aide d’un utilisateur valide présent dans AD
4010 Vous n’êtes pas autorisé à ouvrir de session pour le moment Heures d’ouverture de session restreintes Ouvrez une session en dehors des heures restreintes
4011 Votre compte AD est désactivé Compte désactivé Activer votre compte AD
4012 Votre mot de passe a expiré Mot de passe expiré Réinitialiser votre mot de passe
4013 Vous n’avez pas l’autorisation de vous connecter Aucune autorisation de numérotation (spécifique à RADIUS). Cela se produit généralement si un utilisateur n’est pas autorisé à s’authentifier sur un serveur. Le paramètre d’autorisation d’accès réseau doit être modifié
4014 Impossible de modifier votre mot de passe Erreur lors de la modification du mot de passe. Cela peut se produire pour de nombreuses raisons. Une telle raison pourrait être d’essayer de changer le mot de passe en utilisant le port non-ssl fourni dans ldapprofile sur Citrix ADC. Assurez-vous que le port sécurisé et le type de sec sont utilisés pour changer le mot de passe
4015 Votre compte est temporairement verrouillé Le compte AD de l’utilisateur est verrouillé Déverrouiller votre compte AD
4016 Impossible de mettre à jour votre mot de passe. Le mot de passe doit répondre aux exigences de longueur, de complexité et d’historique du domaine. Configuration requise du mot de passe utilisateur non satisfaite lors du changement de mot de passe Respecter les exigences requises lors du changement de mot de passe
4017 Processus du CNA Spécifique à Microsoft Intune. Citrix Gateway ne peut pas vérifier le périphérique, en raison d’une défaillance de l’API ou d’une défaillance de connectivité. Assurez-vous que les périphériques gérés Microsoft Intune sont accessibles à Citrix Gateway
4018 Non-conformité du CNA Microsoft Intune renvoie un état indiquant que ce périphérique n’est pas compatible Assurez-vous que les périphériques gérés par Microsoft Intune sont conformes à Citrix Gateway
4019 NAC non géré Microsoft Intune renvoie un état indiquant qu’il ne s’agit pas d’un périphérique géré Assurez-vous que les configurations spécifiques à Microsoft Intune sont en place
4020 Authentification non prise en charge Cette erreur est observée en cas de mauvaise configuration. Par exemple, le type d’authentification n’est pas pris en charge par Citrix ADC ou si la configuration Authentciationprofile est incorrecte sur l’appliance Citrix ADC ou si une action comptable (rayon) est tentée pour l’authentification. Cochez la case Authentification du serveur d’authentification sur Citrix ADC si elle n’est pas cochée. Utilisez l’action d’authentification appropriée sur Citrix ADC.
4021 Compte d’utilisateur expiré Le compte d’utilisateur a expiré Renouveler votre compte utilisateur
4022 Le compte d’utilisateur est verrouillé par Citrix ADC Le compte d’utilisateur est verrouillé par Citrix ADC Déverrouiller le compte à l’aide de la commande unlock aaa user <>
4023 Limite maximale du périphérique OTP atteinte Limite de l’appareil pour la réception de l’OTP atteinte Essayez de désinscrire les périphériques OTP non requis ou continuez avec ceux déjà enregistrés

Résoudre les problèmes d’authentification dans Citrix ADC et Citrix Gateway avec le module aaad.debug