Solucionar problemas de autenticación adaptable
Los problemas se clasifican según las diferentes etapas de la configuración:
- Provisioning
- Problema de accesibilidad de
- Problema de conectividad y autenticación de AD/RADIUS
- Problemas de autenticación
- Problemas relacionados con la postura del dispositivo y la EPA
- Problemas relacionados con las etiquetas inteligentes
- Recopilación de registros
También puede solucionar los problemas mediante la CLI de Autenticación adaptable. Para conectarse a la CLI, haga lo siguiente:
- Descargue el cliente SSH como putty/securecrt en su máquina.
- Acceda a la instancia de Autenticación adaptable mediante la dirección IP (principal) de administración.
- Inicie sesión con sus credenciales.
Para obtener más información, consulte Acceso a un dispositivo NetScaler.
Habilitar el registro de registros de autenticación adaptable
Asegúrese de habilitar los niveles de registro para capturar los registros de autenticación adaptable.
Habilite los registros mediante la CLI:
- Inicie sesión en la CLI de la instancia de autenticación adaptable.
- Con PuTTY, introduzca las credenciales de administración.
- Ejecute el comando
set audit syslogParams logLevel ALL
Habilitar los registros mediante la GUI:
- Inicie sesión en la instancia de autenticación adaptable mediante un explorador web.
- Vaya a Configuración > Sistema > Auditoría.
- En la página Auditoría, en Configuración, haga clic en Cambiar la configuración de syslog de auditoría.
- En Niveles de registro, seleccione TODOS.
Problemas de aprovisionamiento
-
No se puede acceder a la IU de autenticación adaptable
Compruebe si el derecho está habilitado para su ID de cliente/arrendatario.
-
Estancado en la página de aprovisionamiento durante más de 45 minutos
Recopile la captura de pantalla del error, si existe, y luego póngase en contacto con el Soporte de Citrix para obtener ayuda.
-
El par de VNet está inactivo
- Compruebe si hay alertas en Azure Portal correspondientes a este emparejamiento y tome las medidas recomendadas.
- Elimine el emparejamiento y vuelva a agregarlo desde la interfaz de usuario de Autenticación adaptable.
-
El desaprovisionamiento no está completo
Contacte con Citrix Support para obtener ayuda.
Problema de accesibilidad de
-
No se puede acceder a la dirección IP de administración para la instancia
-
Compruebe si la dirección IP pública del cliente utilizada para el acceso se encuentra entre las direcciones IP de origen permitidas.
-
Valide si hay algún proxy que cambie la dirección IP de origen del cliente.
-
-
No se puede iniciar sesión en la instancia
Asegúrese de que el acceso de administrador funcione correctamente con las credenciales que introdujo durante el aprovisionamiento.
-
Los usuarios finales no tienen derechos completos
Asegúrese de que, al agregar el usuario, haya vinculado la directiva de comandos adecuada para el acceso. Para obtener más información, consulte Directivas de usuario, grupos de usuarios y comandos.
Problema de conectividad AD o RADIUS
Problema con el tipo de conectividad de pares de Azure Vnet:
- Compruebe si se puede acceder a la Azure VNet administrada por el cliente desde las instancias de autenticación adaptable.
- Compruebe si funciona la conectividad/accesibilidad de Azure VNet administrada por el cliente a AD.
- Asegúrese de que se agreguen las rutas adecuadas para dirigir el tráfico desde las instalaciones a las VNet de Azure.
Conector basado en Windows:
- Todos los registros están disponibles en el directorio /var/log/ns.log y cada registro lleva el prefijo [NS_AAUTH_TUNNEL].
- ConnectionID de los registros se puede usar para correlacionar diferentes transacciones.
-
Asegúrese de que la dirección IP privada de la máquina virtual del conector se agregue como uno de los clientes RADIUS en el servidor RADIUS, ya que esa dirección IP es la dirección IP de origen del conector.
Para cada solicitud de autenticación, se establece el túnel entre la instancia de autenticación adaptable (proceso NS - AAAD) y el servidor de autenticación. Una vez que el túnel se ha establecido correctamente, se produce la autenticación.
Asegúrese de que la máquina virtual del conector pueda resolver el FQDN de autenticación adaptable.
-
El conector está instalado, pero la conectividad local falla.
Valide si NSAUTH-TUNNEL se está estableciendo.
cat ns.log | grep -I “tunnel”
Si el siguiente registro de ejemplo no se imprime en el archivo ns.log para la solicitud de autenticación, es posible que haya un problema al establecer un túnel o algún problema desde el lado del conector.
LDAP: [NS_AAUTH_TUNNEL] Entering bitpump for Connection1 => Src : 192.168.0.7:28098, Dst : 10.106.103.60:636 , Connection2 => Src : 10.106.103.70:2271, Dst : 10.106.103.80:443" RADIUS: [NS_AAUTH_UDP_TUNNEL] MUX channel established" <!--NeedCopy-->
Compruebe los detalles del registro y tome las medidas oportunas.
Detalles del registro Acción correctiva No se incluyen registros con prefijo [NS_AAUTH_TUNNEL]
en el archivo de registrosEjecute el comando show cloudtunnel vserver
. Este comando debe incluir ambos servidores virtuales de túnel en la nube (TCP y UDP) con el estado “UP”.[NS_AAUTH_TUNNEL] Waiting for outbound from connector
Para este registro, si no se recibe la siguiente respuesta:[NS-AAUTH-TUNNEL] Received connect command from connector and client connection lookupsucceeded"
Compruebe si la máquina conectora puede acceder al FQDN de autenticación adaptable O compruebe si hay conexiones salientes al FQDN de autenticación adaptable en el firewall del lado del conector. [NS_AAUTH_TUNNEL] Server is down or couldn't create connection to ip 0.0.0.0
y[NS_AAUTH_TUNNEL] Connect response code 401 is not 200 OK, bailing out"
Contacto con Citrix Support.
No hay respuesta del conector:
- Asegúrese de que se pueda acceder al FQDN de autenticación adaptable desde la máquina virtual del conector.
- Asegúrese de tener un certificado intermedio enlazado y vinculado al certificado del servidor en la instancia de Autenticación adaptable.
Configuración LDAP/RADIUS incorrecta:
Si la dirección IP de su servidor AD/RADIUS es una dirección IP pública, debe agregar la subred o la dirección IP a las expresiones en NetScaler. No modifique los rangos existentes.
-
Para agregar una subred o una dirección IP mediante la CLI:
set policy expression aauth_allow_rfc1918_subnets "(CLIENT.IP.DST.BETWEEN(10.0.0.0,10.255.255.255) || CLIENT.IP.DST.BETWEEN(172.16.0.0,172.31.255.255) || CLIENT.IP.DST.BETWEEN(192.168.0.0, 192.168.255.255) || CLIENT.IP.DST.BETWEEN(13.14.0.0, 13.14.255.255)||CLIENT.IP.DST.EQ(1.2.5.4))" <!--NeedCopy-->
-
Para agregar una subred o dirección IP mediante la GUI:
- Vaya a Appexpert > Expresiones.
- Agregue la expresión aauth_allow_rfc1918_subnets.
Si se establece el túnel pero la autenticación sigue fallando, siga estos pasos para solucionar el problema.
LDAP:
- Valide los detalles de Bind DN.
- Utilice la prueba de conectividad para confirmar el error.
- Valide los errores mediante la depuración
aaad
. -
Inicie sesión en la instancia de Autenticación adaptable mediante la CLI.
shell cd /tmp cat aaad.debug <!--NeedCopy-->
Errores LDAP comunes:
- Tiempo de espera del servidor: no hay respuesta del conector para la consulta LDAP.
- Otros errores de LDAP, consulte https://support.citrix.com/article/CTX138663.
Radio:
- La dirección IP del conector debe agregarse como la dirección IP de origen del cliente RADIUS en la configuración del servidor RADIUS.
Problemas de autenticación
-
Errores de afirmación de publicaciones para OAuth
-
Asegúrese de que AD proporcione todos los reclamos. Necesitas 7 reclamos para que esto tenga éxito.
-
Valide los registros en /var/log/ns.log para localizar el error de los errores de OAuth.
cat /var/log/ns.log <!--NeedCopy-->
- Valide los parámetros del perfil de OAuth.
-
-
Autenticación de Azure AD bloqueada después de la afirmación
Agregue la autenticación de AD como el siguiente factor con la autenticación desactivada. Esto es para obtener todos los reclamos necesarios para una autenticación correcta.
Asuntos relacionados con la EPA
-
El complemento ya está presente, pero el usuario recibe una solicitud para descargarlo.
Posibles causas: No coinciden las versiones o archivos corruptos
-
Ejecute las herramientas para desarrolladores y compruebe si el archivo de lista de complementos contiene la misma versión que la de NetScaler y la máquina cliente.
-
Asegúrese de que la versión del cliente en el NetScaler sea la misma que en la máquina cliente.
Actualice el cliente en NetScaler.
En la instancia de Autenticación adaptable, vaya a Citrix Gateway > Configuración global > Actualizar bibliotecas cliente.
La página de bibliotecas de complementos de la EPA en Descargas de Citrix le proporciona información detallada.
-
En ocasiones, la solicitud se puede almacenar en caché en NetScaler incluso si se actualiza la versión.
show cache object
muestra los detalles del complemento en caché. Puede eliminarlo mediante el comando;flush cache object -locator 0x00000023345600000007
Para obtener detalles sobre la recopilación de registros de la EPA, consulte https://support.citrix.com/article/CTX209148.
-
-
¿Hay alguna manera de revertir la configuración de EPA (Siempre, Sí, No) después de que el usuario haya seleccionado una opción?
Actualmente, la reversión de la configuración de la EPA se realiza manualmente.
- En el equipo cliente, vaya a C:\Users<user_name>\AppData\Local\Citrix\AGEE.
- Abra el archivo
config.js
y establezca trustAlways en null -"trustAlways":null
Problemas con las etiquetas de acceso inteligente
-
Después de configurar el acceso inteligente, las aplicaciones no están disponibles
Asegúrese de que las etiquetas estén definidas tanto en la instancia de autenticación adaptable como en los grupos de entrega de Citrix VDA.
Compruebe que las etiquetas se agreguen en el grupo de entrega de Workspace en todas las mayúsculas.
Puede recopilar el archivo ns.log y ponerse en contacto con el Soporte de Citrix si esto no funciona.
Recopilación de registros general para la instancia de autenticación adaptable
- Paquete de soporte técnico: para obtener más información, consulte Cómo recopilar el paquete de soporte técnico de los dispositivos SDX y VPX para el análisis de información.
- Archivos de rastreo. Para obtener más información, consulte Cómo grabar un seguimiento de paquetes en NetScaler.
Póngase en contacto con el Soporte de Citrix para
En este artículo
- Habilitar el registro de registros de autenticación adaptable
- Problemas de aprovisionamiento
- Problema de accesibilidad de
- Problema de conectividad AD o RADIUS
- Problemas de autenticación
- Asuntos relacionados con la EPA
- Problemas con las etiquetas de acceso inteligente
- Recopilación de registros general para la instancia de autenticación adaptable