USG 授权认证为Active Directory的问题总结

最新推荐文章于 2024-04-26 11:26:25 发布
最新推荐文章于 2024-04-26 11:26:25 发布
阅读量2.2k 收藏 2
点赞数 1
分类专栏: 网络 文章标签: 华为USG防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39567748/article/details/103974482
版权
本文详细记录了在华为USG防火墙与ActiveDirectory集成过程中遇到的故障现象,包括telnet测试不通及认证失败等问题,并分享了排查思路及最终解决方案,关键在于发现并修正了ActiveDirectory管理员密码中包含的特殊字符。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、试验环境

IP地址备注
Win server 20192.2.2.2AWS上的一台Active Directory域主机
USG63001.1.1.1华为USG 防火墙

以上IP地址1.1.1.1和2.2.2.2并非真实环境中的公网IP地址

二、前提

1、USG和Active Directory域的主机之间可以ping通
2、Active Directory域主机的安全组放通了88和389端口
3、Active Directory域主机也关闭了本地防火墙
4、Active Directory域主机的安全组放通了USG防火墙所在的公网ip地址段
5、PC上telnet Active Directory域主机的2.2.2.2:88,2.2.2.2:389可以通

三、故障现象

1、防火墙上telnet -a 1.1.1.1 2.2.2.2 88 不通
2、防火墙上telnet -a 1.1.1.1 2.2.2.2 389 不通
3、使用kangbao.wu 账号进行验证,报错为:Active Directory票据授权失败
4、使用kangbao.it账号进行验证,报错为:Active Directory管理员绑定失败

四、排查思路

针对"防火墙上telnet -a 1.1.1.1 2.2.2.2 88 不通"
针对"防火墙上telnet -a 1.1.1.1 2.2.2.2 389 不通"

1、查看Active Directory域安全组和防火墙是否放通了地址和接口---->全部放通
2、查看USG防火墙的域间策略是否配置正确---->默认全部放通
我没辙了,居然内心想来一句"卧槽",
然后我拨打了华为400,结果告知我 华为的网络设备除了22 23端口可用于telnet 测试,其他的端口不能通过telnet ip:port这种测试端口可用性

针对"使用kangbao.wu 账号进行验证,报错为:Active Directory票据授权失败"
针对"使用kangbao.it账号进行验证,报错为:Active Directory管理员绑定失败"

配置如下:
在这里插入图片描述

通过在USG防火墙上查看
t m
t d
debugging ad all

Jan 14 2020 10:43:06.940.2+08:00 Office_vpn AD/7/debug:[AD(Evt):] Initialize AD server to primary. 
Jan 14 2020 10:43:06.940.3+08:00 Office_vpn AD/7/debug:[AD(pkt):] Make UDP kerbores AS Request packet successfully,username: kangbao.wu
Jan 14 2020 10:43:06.940.4+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Send packet to AD-server(ServerIP:18.162.178.138,Port:88)
Jan 14 2020 10:43:06.940.5+08:00 Office_vpn AD/7/debug:send ad UDP packet success :228

Jan 14 2020 10:43:06.940.6+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Send UDP kerbores AS request packet successfully.
Jan 14 2020 10:43:07.60.1+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Recevied kerbores packet successfully, username: kangbao.wu.
Jan 14 2020 10:43:07.60.2+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Kerberos server's response is bad, ErrorCode: 24.
Jan 14 2020 10:43:07.60.3+08:00 Office_vpn AD/7/debug:[AD(Err):] Kerberos server's response is bad, ErrorCode: 24.
Jan 14 2020 10:43:07.60.4+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Pre-authentication information was invalid.
Jan 14 2020 10:43:07.60.5+08:00 Office_vpn AD/7/debug:AS-REP Parse ERROR .error is [24]! 

Jan 14 2020 10:43:07.60.6+08:00 Office_vpn AD/7/debug:AS-REP Parse ERROR! 

Jan 14 2020 10:43:07.60.7+08:00 Office_vpn AD/7/debug:[AD(Err):] Make kerbores TGS Request packet by UDP failed, so try TCP .username: kangbao.wu
Jan 14 2020 10:43:07.60.8+08:00 Office_vpn AD/7/debug:[AD(Err):] parse  server As Response error,but error code is not AD_KRB5_ERROR_REPONSE_TOO_BIG(52)! 
Jan 14 2020 10:43:07.60.9+08:00 Office_vpn AD/7/debug:[AD(Evt):]  kerbores authenication reject.
Jan 14 2020 10:43:07.60.10+08:00 Office_vpn AD/7/debug: free AD connect success ! 

<Office_vpn>
Jan 14 2020 10:43:37.290.1+08:00 Office_vpn AD/7/debug:[AD(Evt):] Initialize AD server to primary. 
Jan 14 2020 10:43:37.290.2+08:00 Office_vpn AD/7/debug:[AD(pkt):] Make UDP kerbores AS Request packet successfully,username: kangbao.it
Jan 14 2020 10:43:37.290.3+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Send packet to AD-server(ServerIP:18.162.178.138,Port:88)
Jan 14 2020 10:43:37.290.4+08:00 Office_vpn AD/7/debug:send ad UDP packet success :226

Jan 14 2020 10:43:37.290.5+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Send UDP kerbores AS request packet successfully.
Jan 14 2020 10:43:37.400.1+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Recevied kerbores packet successfully, username: kangbao.it.
Jan 14 2020 10:43:37.400.2+08:00 Office_vpn AD/7/debug:[AD(Pkt):] check tag 2 err, may don't have tag 2.
Jan 14 2020 10:43:37.400.3+08:00 Office_vpn AD/7/debug:AD Make Tgs Req OK! 

Jan 14 2020 10:43:37.400.4+08:00 Office_vpn AD/7/debug:[AD(Pkt):] check tag 2 err, may don't have tag 2.
Jan 14 2020 10:43:37.400.5+08:00 Office_vpn AD/7/debug:AD Make Tgs Req OK! 

Jan 14 2020 10:43:37.400.6+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Make UDP kerbores TGS Request packet successfully,username: kangbao.it
Jan 14 2020 10:43:37.400.7+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Send packet to AD-server(ServerIP:18.162.178.138,Port:88)
Jan 14 2020 10:43:37.400.8+08:00 Office_vpn AD/7/debug:send ad UDP packet success :1331

Jan 14 2020 10:43:37.400.9+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Send kerbores TGS Request packet successfully.
Jan 14 2020 10:43:37.510.1+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Recevied kerbores packet successfully, username: kangbao.it.
Jan 14 2020 10:43:37.510.2+08:00 Office_vpn AD/7/debug:[AD(Pkt):] check tag 2 err, may don't have tag 2.
Jan 14 2020 10:43:37.510.3+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Give the Kerberos Ticket to LDAP for verifying.Length is [1231]
Jan 14 2020 10:43:37.510.4+08:00 Office_vpn AD/7/debug:[AD(Evt):]  kerbores authenication accept.
Jan 14 2020 10:43:37.510.5+08:00 Office_vpn AD/7/debug: free AD connect success ! 

sys
diagnose
display ad statistics error 
[Office_vpn-diagnose]display ad statistics error 
2020-01-14 10:43:58.630 +08:00
 mng-plane:
  Server_Down_Err_Static                   = 0
  Server_Unavailable_Err_Static            = 0
  NoServer_Exist_Err_Static                = 0
  Memory_Application_Err_Static            = 0
  Memory_Free_Err_Static                   = 0
  IPC_Message_Translate_Err_Static         = 0
  Server_Client_Time_Not_Match             = 0
  Server_Timeout_Err_Static                = 0
  Make_Pack_Fail_Err_Static                = 1
  Abnormal_Err_Static                      = 0
  AS_Reject_Err_Static                     = 0
  TS_Reject_Err_Static                     = 1
  APR_Reject_Err_Static                    = 0
 
 ctrl-plane:
  Server_Down_Err_Static                   = 0
  Server_Unavailable_Err_Static            = 0
  NoServer_Exist_Err_Static                = 0
  Memory_Application_Err_Static            = 0
  Memory_Free_Err_Static                   = 0
  IPC_Message_Translate_Err_Static         = 0
  Server_Client_Time_Not_Match             = 0
  Server_Timeout_Err_Static                = 0
  Make_Pack_Fail_Err_Static                = 0
  Abnormal_Err_Static                      = 0
  AS_Reject_Err_Static                     = 0
  TS_Reject_Err_Static                     = 0
  APR_Reject_Err_Static                    = 0

1、通过debug信息和ad erro信息得知,Active Directory认证有问题,故进一步排查
2、通过查找资料得知,USG对Active Directory密码有要求,不能有空格和?字符

注意,华为针对Active Directory用户的密码是有要求的,不能有空格和?字符出现,不然就要使用双引号

在这里插入图片描述

注意,这里并没有说administrator的密码也不可以包含空格和字符,然而我Active Directory的administrator的密码就碰巧有?字符的存在,我萎蔫了

更改了Active Directory域的管理员的密码后,至此,终于解决了所有的问题

OpenStack 虚拟机冷/热迁移功能实践与流程分析
烟云的计算
03-15 5786
目录 文章目录目录迁移的应用场景迁移的类型冷迁移热迁移迁移时需要处理的数据类型迁移的运行场景 迁移的应用场景 当物理服务器发生故障修复时,或当物理服务器升级维护时,需要将物理服务器之上的虚拟机热迁移出去。 当某个物理服务器上的负载超出安全阈值,需要将其中一些虚拟机迁移出去,以此释放资源。 对一个区域中的物理服务器进行虚拟机负载均衡。 迁移的类型 冷迁移 冷、即冷冻,数据的冷冻,不存在动态数据的...
使用 Ceph 作为 OpenStack 的统一存储解决方案
热门推荐
烟云的计算
04-25 1万+
目录 文章目录目录前文列表对接 Nova对接 Glance对接 Cinder 前文列表 《手动部署 OpenStack Rocky 双节点》 《手动部署 Ceph Mimic 三节点》 《Ceph 分布式存储架构解析与工作原理》 《Ceph RBD 的实现原理与常规操作》 对接 Nova 对接 Glance 对接 Cinder ...
AD对接:华为USG防火墙LDAP用户认证
qq948718360的博客
04-26 1748
华为USG配置LDAP对接AD进行身份认证
cas ad sso集成问题记录
createamind 的专栏
03-07 724
官方文档:https://wiki.jasig.org/display/CASUM/SPNEGO   The advantage of configuring SPNEGO is that users that are logged in to the AD domain will be logged in automatically at CAS, without any inter...
去除Spring Security认证Pre-Authentication配置
叉叉哥的BLOG
05-27 1万+
Spring Security官方文档对Pre-Authentication是这样解释的: There are situations where you want to use Spring Security for authorization, but the user has already been reliably authenticated by some external sy...
SpringSecurity权限认证@preAuthorize失效
Gufang617的博客
08-25 3512
. 原因分析 1.跟着老师搭载的SSO(单点登录)项目,没有进行sys:res:update的授权,但是SpringSecurity就是不对其进行拦截,结果前端返回的response.data中只有"doUpdate resource (update) ok" 2.授权被拦截而执行的方法,没有执行.map中没有put入message. 3.故导致前端页面alert(response.data.message),message都是undefined 解决办法:在图片中红线位置加这局注解即可. 原理:@
关于星环TDH产品的Java通过Kerberos安全认证连接hyperbase
public_stati的博客
03-22 1023
这个是星环的官方文档,也可以按照他的配,实现他的前提是要你的客户端开启Kerberos认证的,还要注意每次关闭和开启都要重新下载hyperbase.Kerberos文件。首先,如果要运行上面的东西,你需要去星环所在服务器上自己下载jar包依赖,并且还要自己去星环平台下载他们的客户端到自己主机,不然会找不到认证文件。Kerberos 所管理的一个用户或者一个服务,可以理解为 Kerberos 中保存的一个账号,2)Realm:Kerberos 所管理的一个领域或范围,称之为一个 Realm。
FreeRadius+GoogleAuthenticator+华为sslvpn动态口令认证登录
weixin_41296628的博客
04-26 4273
FreeRadius+GoogleAuthenticator+华为sslvpn动态口令认证登录
华为防火墙实现单点登录方式.docx
01-04
用户的身份信息通常记录在专门的服务器中,如微软的Active Directory华为的Agile Controller、Radius、HWTACACS等。然后,其他需要认证的服务或系统通过向服务器获取消息或监听服务器收到的信息,让自己可以进行...
Linux之安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
11-12 2449
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
华为防火墙USG)的管理方式配置
weixin_45116475的博客
10-25 8012
一、华为防火墙设备的几种管理方式介绍: 由于在对防火墙设备配置管理方式时,涉及到了AAA这个概念,索性就将AAA的相关介绍简单写一下。 AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个部分组成,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权限的用户提供服务。其中: 验证:哪些用户可以访问网络...
华为USG l2tp over ipsec 使用NPS radius 认证 支持CHAP认证
weixin_34132768的博客
02-28 770
如何使 华为USG l2tp over ipsec 使用windows NPS radius 认证方式 支持CHAP认证 环境华为 usg2210 l2tp over ipsec *** + radius 认证(Windows server 2016 NPS) USG2200 V300R001C10SPC700(VRP (R)Version 5.30) 客户端 win10 专业...
kerberos使用中遇到的问题
玩物
03-17 1万+
公司的kerberos认证使用了很久,但是最近新上的一批服务器无法直接免密登录,需要输入密码。此问题查询了将近一个礼拜后,终于得到解决。kerberos的系统组成有至少三部分。1.ServerA (kdc kerberos-admin(kerberos服务端)) 2.ServerB (client(kerberos user),所有用户可以通过这个服务器从服务端索要凭据)。 3.ServerC(服
启用kerberos认证时一直出现下面的错误解决方案
阿正的博客
04-04 5150
记得执行如下操作!!关键一步!!!即可成功启用kerberos认证! https://blog.youkuaiyun.com/weixin_36242590/article/details/78048956 CDH安装kerberos后无法启动zookeeper的解决方法 https://blog.youkuaiyun.com/weixin_36242590/article/details/78048956...
计算机与AD域丢失信任解决办法
小武的兴趣部落
07-19 1万+
碰到该问题,大多数解决方法是客户机重新加域,本文介绍另外一种做法。 操作方法 登录到域控服务器,输入命令: netdom reset pcname /domain:mydomain 也可以远程powershell执行。 若成功,则会收到以下提示: 已重置从 pcname 到域 mydomain 的安全通道。 与计算机 \pcname.mydomain 建立连接。 常见错误 ...
ad域帐号登录提示无法处理请求_微信小程序开发用户授权登录(下)
weixin_39591386的博客
11-23 300
如果开发者拥有多个移动应用、网站应用、和公众帐号(包括小程序),可通过 UnionID 来区分用户的唯一性,因为只要是同一个微信开放平台帐号下的移动应用、网站应用和公众帐号(包括小程序),用户的 UnionID 是唯一的。换句话说,同一用户,对同一个微信开放平台下的不同应用,unionid是相同的。所以我们有时候需要获取这个UnionID登录流程流程解析1. 客户端获得code,并将code传给第...
常见的 Kerberos 错误消息
zy531的专栏
01-31 1万+
http://docs.oracle.com/cd/E19253-01/819-7061/trouble-6/index.html 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息 All authentication systems disabled; connection refused
eNSP里为什么没有usg6500
最新发布
04-01
### 关于 eNSP 中不包含 USG6500 设备的原因 eNSP(Enterprise Network Simulation Platform)是由华为开发的一款网络仿真平台,用于模拟真实环境下的网络设备及其交互过程。然而,在当前版本的 eNSP 中,并未包含某些特定型号的设备,例如 USG6500 防火墙。 #### 原因分析 1. **硬件架构差异** USG6500 属于高性能防火墙设备,其硬件设计复杂度较高,依赖专用的安全加速芯片来处理高吞吐量的数据流[^2]。这些特性使得完全模拟该设备的功能变得困难,尤其是在软件环境中难以重现其性能表现。 2. **资源消耗问题** 模拟像 USG6500 这样的高端设备可能需要大量的计算资源,而 eNSP 主要面向教学和实验场景,更注重轻量化部署。因此,为了降低对主机硬件的需求并提升运行效率,部分复杂的设备被排除在外[^3]。 3. **功能覆盖范围** 尽管 USG6500 缺失,但 eNSP 提供了其他类型的防火墙模型(如 USG6000 系列中的低功耗款型),能够满足大多数学习者的基础需求。对于高级功能测试,则建议使用实际物理设备或云端实验室服务[^4]。 --- ### 替代方案探讨 如果确实需要研究 USG6500 的具体行为模式,可考虑以下几种方法: 1. **采用虚拟化技术** 利用 VMware 或 KVM 平台加载官方发布的 VRP 虚拟镜像文件,从而构建接近真实的网络安全环境。此方式虽然设置稍显复杂,却能较好地还原目标产品的运作机制[^1]。 2. **借助第三方工具扩展能力** GNS3 是一款兼容多品牌网络组件仿真的开源应用程序,它允许导入 Huawei VNE (Virtualized Network Element) 包含 USG 类别在内的更多种类节点选项[^5]。 3. **联系供应商获取试用权限** 向华为申请临时授权或许可以获得一段时间内远程操控真机的机会;这对于深入理解专业级防护措施非常有帮助。 ```bash # 示例命令:启动一个基于VRP系统的虚拟实例 vnm start usg-virtual-instance --config /path/to/usg-config-file.txt ``` 上述脚本展示了如何通过命令行界面快速激活预定义配置好的安全网关单元。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值