Foro en Español

Reply
MOA
Occasional Contributor II
Posts: 19
Registered: ‎12-14-2015

Implicaciones Setting "User idle timeout" en perfil AAA de controladora 7220 OS 6.4.3.4

Hola, estamos trabajando en una integración con Palo Alto.

 

Para este reciba la desconexión de los clientes parece que es necesario activar la opción "User idle timeout" dentro del perfil AAA que aplique.

 

Nuestra duda es el impacto que pueda tener activar esta opción en un entorno de producción de unos 10k usuarios.

 

Alguna idea o experiencia al respecto?

 

Gracias.

Moderator
Posts: 918
Registered: ‎07-29-2010

Re: Implicaciones Setting "User idle timeout" en perfil AAA de controladora 7220 OS 6.4.3.

Hola

 

El comando que tenéis que habilitar no es el "User Idle Timeout", que no es algo que se habilita o deshabilita sino un valor en segundos (el tiempo que el controller espera antes de darte por desconectado).

 

Lo que tenéis que hacer es añadir un servidor de accounting a vuestro servicio de AAA y marcar la opción de "RADIUS interim accounting". Esta es una configuración completamente normal y recomendada. Yo la marco siempre y nunca he tenido problemas por hacerlo.

 

Un saludo!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
MOA
Occasional Contributor II
Posts: 19
Registered: ‎12-14-2015

Re: Implicaciones Setting "User idle timeout" en perfil AAA de controladora 7220 OS 6.4.3.

Gracias por tu respuesta Samuel.

 

Si activamos RADIUS interim accounting y desactivamos "User Idle Timeout" el Palo Alto no recibe el STOP y solo con el interim accounting no se entera de que el cliente se ha desconectado.

 

Algo se nos escapa pero no acabamos de dar con ello ...

Por otro lado estoy tratando de hacer una captura de Logs from all Policy Manager services utilizando "collect logs" dentro de "server configuration" pero no veo la manera de ajustar el tiempo de la captura. Solo aparece el boton de Star pero ni se puede parar ni ajustar su duración que es de unos 3 min. Alguna idea de donde se pueden regular las capturas de logs??

Contributor I
Posts: 24
Registered: ‎09-25-2015

Re: Implicaciones Setting "User idle timeout" en perfil AAA de controladora 7220 OS 6.4.3.

Buenas;

 

 Como puedes ver en la siguiente captura de pantalla, te recuadro donde puedes aumentar el tiempo. captura_collect_logs.jpg

 Un saludo.

 

Angel De la Encarnacion.

 

ACMP, ACCP, ACDX #544

 

MOA
Occasional Contributor II
Posts: 19
Registered: ‎12-14-2015

Re: Implicaciones Setting "User idle timeout" en perfil AAA de controladora 7220 OS 6.4.3.

Gracias Angel, me he explicado mal. Lo que queremos hacer es una recogida de logs, no captura de paquetes.

 

Por lo que hemos visto al abrir uno de los logs es que estos no se generan cuando das a "start" como pensabamos sino que se van guardado y cuando das al "start" simplemente se recogen y empaquetan.

 

De esta manera no tiene sentido que exista un timming pq si no lo hemos entendido mal, los logs se están recogiendo por defecto y lo único que hacemos es juntarlos y bajarlos.

 

Contributor I
Posts: 24
Registered: ‎09-25-2015

Re: Implicaciones Setting "User idle timeout" en perfil AAA de controladora 7220 OS 6.4.3.

Buenas;

 

 La opcion que te mostraba captura el trafico que pasa por el clearpass durante el tiempo que nosotros estipulamos. 

 

 Por lo que te habia entendido era eso lo que querias, verificar si recibes algo de los equipos Palo Alto.

 

Un saludo.

 

Angel De la Encarnacion

 

ACMP, ACCP, ACDX #544

MOA
Occasional Contributor II
Posts: 19
Registered: ‎12-14-2015

Re: Implicaciones Setting "User idle timeout" en perfil AAA de controladora 7220 OS 6.4.3.

Si, esa es una comprobación (ver los paquetes) que ya hicimos pero el problema es que la respuesta al Palo Alto, los paquetes, van cifrados y no podemos ver su contendio.

 

Hemos pensado que quizá los logs postauthcrtl.log nos den esa información, el contenido de la respuesta a los Palo Alto.

DSP
Contributor II
Posts: 37
Registered: ‎03-25-2013

Re: Implicaciones Setting "User idle timeout" en perfil AAA de controladora 7220 OS 6.4.3.

[ Edited ]

Hola, 

 

Si tu diseño es 1:1 Master HA failover con state-sync & VRRP es conveniente añadir el campo nas-ip con la IP de VRRP en el "authentication server profile" para que CoA funcione correctamente. 

 

El siguiente articulo te puede resultar de ayuda  : 

 

https://live.paloaltonetworks.com/t5/Management-Articles/Troubleshooting-RADIUS-Authentication/ta-p/59200

 

Asegurate tambien de que no estes sufriendo el siguiente problema :

 

151431 Symptom: The Proxy-State attribute is missing in Disconnect-ACK or COAACK message sent from a controller in response to the corresponding Disconnect-Request or COA-Request message received with Proxy-State attribute. This behavior does not comply with RFC 3576/5176.
Scenario: This issue is observed in controllers running ArubaOS 6.4.2.6.
Workaround: None.
RADIUS All platforms ArubaOS 6.4.2.6

 

En una peticion CoA y Disconnect-Request todos los atributos son obligatorios. Este problema esta en la RLN "Known Issues in 6.4.4.11" posterior a la que usas pero merece la pena descatarlo.

 

DSP

 

 

 

Search Airheads
Showing results for 
Search instead for 
Did you mean: