Résoudre les problèmes d’authentification, d’autorisation et d’audit
Résoudre les problèmes d’authentification dans Citrix ADC et Citrix Gateway avec le module aaad.debug
L’authentification dans Citrix Gateway est gérée par le démon d’authentification, d’autorisation et d’audit (AAA). Les événements d’authentification bruts que les processus de démon AAA peuvent être surveillés en affichant la sortie du module aaad.debug et servent d’outil de dépannage précieux. Le aaad.debug est un tuyau par opposition à un fichier plat et n’affiche pas les résultats ni ne les consigne. Par conséquent, la commande cat peut être utilisée pour afficher la sortie de aaad.debug. Le processus d’utilisation de nsaaad.debug pour résoudre un problème d’authentification est généralement appelé « débogage aaad ».
Ce processus est utile pour résoudre les problèmes d’authentification tels que :
- Erreurs d’authentification générales
- Échec du nom d’utilisateur/mot de passe
- Erreurs de configuration de stratégie d’authentification
- Discordance d’extraction de groupe
Remarque : Ce processus s’applique aux appliances Citrix Gateway et Citrix ADC.
Résolution des problèmes d’authentification
Pour résoudre les problèmes d’authentification avec le module aaad.debug, procédez comme suit :
-
Connectez-vous à l’interface de ligne de commande Citrix Gateway avec un client Secure Shell (SSH) tel que PuTTY.
- Exécutez la commande suivante pour passer à l’invite de shell :
shell - Exécutez la commande suivante pour passer au répertoire /tmp :
cd /tmp - Exécutez la commande suivante pour démarrer le processus de débogage :
cat aaad.debug - Effectuez le processus d’authentification qui nécessite un dépannage, par exemple une tentative d’ouverture de session utilisateur.
- Surveillez la sortie de la commande cat aaad.debug pour interpréter et dépanner le processus d’authentification.
- Arrêtez le processus de débogage en appuyant sur Ctrl+Z.
- Exécutez la commande suivante pour enregistrer la sortie de
aaad.debugdans un fichier :cat aaad.debug | tee /var/tmp/<debuglogname>, où/var/tmpest le chemin du répertoire requis et<debuglogname.log>le nom du journal requis.
La section suivante fournit des exemples de la façon dont le module aaad.debug peut être utilisé pour résoudre et interpréter une erreur d’authentification.
Mot de passe incorrect
Dans l’exemple suivant, l’utilisateur saisit un mot de passe RADIUS incorrect.
process_radius Got RADIUS event
process_radius Received BAD_ACCESS_REJECT for: <username>
process_radius Sending reject.
send_reject_with_code Rejecting with error code 4001
<!--NeedCopy-->
Nom d’utilisateur non valide
Dans l’exemple suivant, l’utilisateur entre un nom d’utilisateur LDAP incorrect.
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[450]: receive_ldap_user_search_event 1-140: Admin authentication(Bind) succeeded, now attempting to search the user testusernew
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[453]: receive_ldap_user_search_event 1-140: Number of entires in LDAP server response = 0
/home/build/rs_121/usr.src/netscaler/aaad/ldap_drv.c[459]: receive_ldap_user_search_event 1-140: ldap_first_entry returned null, user testusernew not found
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4781]: send_reject_with_code 1-140: Not trying cascade again 4009
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4783]: send_reject_with_code 1-140: sending reject to kernel for : testusernew
/home/build/rs_121/usr.src/netscaler/aaad/naaad.c[4801]: send_reject_with_code 1-140: Rejecting with error code 4009
<!--NeedCopy-->
Détermination des résultats d’extraction de groupe
Dans l’exemple suivant, les résultats d’extraction de groupe peuvent être déterminés. De nombreux problèmes liés à l’accès au groupe AAA impliquent que l’utilisateur ne récupère pas les stratégies de session correctes pour son groupe affecté dans une appliance Citrix Gateway. Ceci est souvent dû à l’orthographe incorrecte d’AD ou du nom du groupe Radius dans l’appliance et aux utilisateurs qui ne sont pas membres du groupe de sécurité dans AD ou le serveur Radius.
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[40]:
start_ldap_auth attempting to auth scottli @ 10.12.33.216
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[291]:
/usr/home/build/rs_80_48/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[551]: recieve_ldap_user_search_event built group string for scottli of:Domain Admins
<!--NeedCopy-->
Codes d’erreur du module aaad.debug
Le tableau suivant répertorie les différents codes d’erreur du module aaad.debug, la cause de l’erreur et la résolution.
| Codes d’erreur du module aaad.debug | Message d’erreur | Cause de l’erreur | Résolution |
|---|---|---|---|
| 4001 | Informations d’identification et mot de passe incorrects. Réessayez. | Informations d’identification incorrectes sont fournies | Entrez les informations d’identification correctes |
| 4002 | Non autorisé | Ceci est une erreur catch all. Se produit lorsque l’opération ldapbind échoue pour des raisons autres que les informations d’identification utilisateur incorrectes. | Assurez-vous que l’opération de liaison est autorisée |
| 4003 | Impossible de se connecter au serveur. Essayez de vous connecter à nouveau dans quelques minutes. | Délais d’attente du serveur | Augmentez la valeur de délai d’expiration du serveur LDAP/Radius sur Citrix ADC (Authentification > LDAP/Radius > Serveur > Valeur de délai d’expiration). La valeur du délai d’expiration par défaut est de 3 secondes. |
| 4004 | Erreur système | Erreur interne Citrix ADC/Citrix Gateway ou erreur d’exécution dans la bibliothèque de l’appliance | Vérifiez la cause de l’erreur système et résolvez-la |
| 4005 | Erreur de socket | Erreur de socket lors de la conversation avec le serveur d’authentification | Assurez-vous que le serveur LDAP/RADIUS ou tout autre serveur d’authentification peut écouter sur les ports mentionnés dans l’action d’authentification configurée sur Citrix ADC. Par exemple, un scénario d’erreur courant peut être qu’un ldapprofile sur Citrix ADC est configuré pour utiliser le port 636 /SSL, mais le même port n’est pas ouvert sur l’AD. |
| 4006 | Nom d’utilisateur incorrect | Nom d’utilisateur incorrect (format) passé à nsaaad, comme nom d’utilisateur vide | Entrez le nom d’utilisateur correct |
| 4007 | Mot de passe incorrect | Mot de passe incorrect (format) transmis à nsaaad | Entrez le mot de passe correct |
| 4008 | Les mots de passe ne correspondent pas | Correspondance de mot de passe | Entrez le mot de passe correct |
| 4009 | Utilisateur introuvable | Cet utilisateur n’existe pas | Connexion à l’aide d’un utilisateur valide présent dans AD |
| 4010 | Vous n’êtes pas autorisé à ouvrir de session pour le moment | Heures d’ouverture de session restreintes | Ouvrez une session en dehors des heures restreintes |
| 4011 | Votre compte AD est désactivé | Compte désactivé | Activer votre compte AD |
| 4012 | Votre mot de passe a expiré | Mot de passe expiré | Réinitialiser votre mot de passe |
| 4013 | Vous n’avez pas l’autorisation de vous connecter | Aucune autorisation de numérotation (spécifique à RADIUS). Cela se produit généralement si un utilisateur n’est pas autorisé à s’authentifier sur un serveur. | Le paramètre d’autorisation d’accès réseau doit être modifié |
| 4014 | Impossible de modifier votre mot de passe | Erreur lors de la modification du mot de passe. Cela peut se produire pour de nombreuses raisons. Une telle raison pourrait être d’essayer de changer le mot de passe en utilisant le port non-ssl fourni dans ldapprofile sur Citrix ADC. | Assurez-vous que le port sécurisé et le type de sec sont utilisés pour changer le mot de passe |
| 4015 | Votre compte est temporairement verrouillé | Le compte AD de l’utilisateur est verrouillé | Déverrouiller votre compte AD |
| 4016 | Impossible de mettre à jour votre mot de passe. Le mot de passe doit répondre aux exigences de longueur, de complexité et d’historique du domaine. | Configuration requise du mot de passe utilisateur non satisfaite lors du changement de mot de passe | Respecter les exigences requises lors du changement de mot de passe |
| 4017 | Processus NAC | Spécifique à Microsoft Intune. Citrix Gateway ne peut pas vérifier le périphérique, en raison d’une défaillance de l’API ou d’une défaillance de connectivité. | Assurez-vous que les périphériques gérés Microsoft Intune sont accessibles à Citrix Gateway |
| 4018 | Non-conformité NAC | Microsoft Intune renvoie un état indiquant que ce périphérique n’est pas compatible | Assurez-vous que les périphériques gérés par Microsoft Intune sont conformes à Citrix Gateway |
| 4019 | NAC non géré | Microsoft Intune renvoie un état indiquant qu’il ne s’agit pas d’un périphérique géré | Assurez-vous que les configurations spécifiques à Microsoft Intune sont en place |
| 4020 | Authentification non prise en charge | Cette erreur est observée en cas de mauvaise configuration. Par exemple, le type d’authentification n’est pas pris en charge par Citrix ADC ou si la configuration Authentciationprofile est incorrecte sur l’appliance Citrix ADC ou si une action comptable (rayon) est tentée pour l’authentification. | Cochez la case Authentification du serveur d’authentification sur Citrix ADC si elle n’est pas cochée. Utilisez l’action d’authentification appropriée sur Citrix ADC. |
| 4021 | Compte d’utilisateur expiré | Le compte d’utilisateur a expiré | Renouveler votre compte utilisateur |
| 4022 | Le compte d’utilisateur est verrouillé par Citrix ADC | Le compte d’utilisateur est verrouillé par Citrix ADC | Déverrouiller le compte à l’aide de la commande unlock aaa user <> |
| 4023 | Limite maximale du périphérique OTP atteinte | Limite de l’appareil pour la réception de l’OTP atteinte | Essayez de désinscrire les périphériques OTP non requis ou continuez avec ceux déjà enregistrés |
Localiser les messages d’erreur générés par le système Citrix ADC nFactor
Cette rubrique capture des informations sur la localisation des messages d’erreur générés par le système Citrix ADC nFactor. Ces messages incluent les chaînes d’erreur d’authentification étendues qui sont obtenues dans le cadre de la rétroaction d’authentification améliorée.
Les chaînes d’erreur par défaut envoyées par le sous-système nFactor sont décrites dans /var/netscaler/logon/logonpoint/receiver/js/localization/en/ctxs.strings.js pour la langue anglaise. Les chaînes d’erreur pour d’autres langues se trouvent dans les répertoires correspondants dans /var/netscaler/logon/logonpoint/recepver/js/localization/.
Vous devez créer un thème de portail basé sur l’interface utilisateur RFWeb pour localiser les messages d’erreur.
À l’invite de commandes, tapez :
add portaltheme custom_error_theme -basetheme RfWebUI
bind authentication vserver av1 -portaltheme custom_error_theme
<!--NeedCopy-->
Une fois ces commandes exécutées, un nouveau répertoire est créé dans /var/netscaler/logon/themes/<name>. Ce répertoire contient un fichier nommé « strings.en.json ». Ce fichier est un fichier json vide pour commencer. L’administrateur peut ajouter des paires nom-valeur comprenant des chaînes d’erreur anciennes et nouvelles.
Par exemple, { « Aucune stratégie active pendant l’authentification » : « Aucune stratégie active pendant l’authentification, Veuillez contacter l’administrateur » }
Dans l’exemple précédent, le texte sur le côté gauche est le message d’erreur existant qui est envoyé par nFactor. Le texte sur le côté droit est le remplacement pour cela. L’administrateur peut ajouter d’autres messages si nécessaire.
Commentaires d’authentification améliorés
Pour obtenir des messages d’erreur étendus pendant le processus d’authentification, la fonctionnalité EnhancedAuthenticationFeedback doit être activée.
À l’invite de commandes, tapez :
set aaa parameter –enableEnhancedAuthFeedback YES
<!--NeedCopy-->