不涉及
某局点使用F1000-AK115做SSL VPN,ldap服务器使用开源软件open ldap做用户账号统一管理。用户进行拨号时提示认证失败。
查看ldap相关配置正常,设备到服务器网络可达,admin用户拥有管理员权限,用户都在employees目录下
#
ldap server ldap
login-dn cn=admin,dc=x,dc=x
search-base-dn ou=employees,dc=x,dc=x
ip X.X.X.X
login-password cipher $c$3$7Ab9zE5Uw4IXiiW0iqBV/WPPpL8SR86EzHec
protocol-version v2
#
终端认证时在防火墙上收集debug信息,看到如下报错:
*Nov 2 14:03:50:300 2021 FHQ LDAP/7/EVENT:
PAM_LDAP[State]:State switch from init to binding admin.
*Nov 2 14:03:50:300 2021 FHQ LDAP/7/EVENT:
PAM_LDAP:Executing bind operation, DN is cn=admin,dc=yizhun,dc=com.
*Nov 2 14:03:50:308 2021 FHQ LDAP/7/EVENT:
PAM_LDAP:Performing binding operation as administrator.
*Nov 2 14:03:52:078 2021 FHQ LDAP/7/EVENT:
PAM_LDAP:Administrator's binding operation completed.
*Nov 2 14:03:52:078 2021 FHQ LDAP/7/EVENT:
PAM_LDAP:Response timeout timer successfully created.
*Nov 2 14:03:52:078 2021 FHQ LDAP/7/EVENT:
PAM_LDAP:Get result message errno = 2
*Nov 2 14:03:52:079 2021 FHQ LDAP/7/ERROR:
PAM_LDAP:Failed to perform binding operation as administrator.
*Nov 2 14:03:52:079 2021 FHQ LDAP/7/EVENT:
PAM_LDAP:Processing LDAP authentication.
*Nov 2 14:03:52:079 2021 FHQ LDAP/7/EVENT:
PAM_LDAP:Data of authentication reply successfully obtained, resultCode: 1.
*Nov 2 14:03:52:079 2021 FHQ SSLVPN/7/SSLVPN_AAA: Processed asynchronous authentication response: cOntextID=0x1, requestID=0, result=26.
%Nov 2 14:03:52:080 2021 FHQ SSLVPN/5/SSLVPN_USER_LOGINFAILED: User x.x of context sslvpn failed to log in from x.x.x.x. Reason: Authentication failed, reason: incorrect username or password or an internal error has occurred on the authentication server..
向客户确认admin用户拥有管理员权限,使用该账号可以正常登录服务器并进行任意操作。
所以再收集认证时的抓包信息返回分析,抓包文件看到如下报文,提示协议错误:
查看ldap服务器配置协议版本为v2,所以修改为v3测试:
ldap server ldap
login-dn cn=admin,dc=x,dc=x
search-base-dn ou=employees,dc=x,dc=x
ip X.X.X.X
login-password cipher $c$3$7Ab9zE5Uw4IXiiW0iqBV/WPPpL8SR86EzHec
protocol-version v2
修改协议版本使用v3后再次进行认证,此时认证成功,抓包信息如下:
修改设备使用的ldap协议版本和服务器保持一致
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作