Połączenia z serwerami

Problem Objawy i opis rozwiązania
Nie można nawiązać połączenia z serwerem

Objawy:

  • Użytkownik nie może się zalogować.

connection_error

  • Wpis w dzienniku zdarzeń: Authentication failed: Invalid username kowalski or password.
 

Rozwiązanie:

  • Sprawdź czy definicja użytkownika istnieje w systemie Wheel Fudo PAM.
  • Zweryfikuj poprawność danych logowania użytkownika.
  • Upewnij się, że w kliencie za pośrednictwem którego realizowane jest połączenie z serwerem, nie są zapamiętane nieaktualne dane logowania.
   
  Objawy: komunikat w dzienniku zdarzeń: Unable to establish connection to server zbigniew (10.0.35.53:3399).
  Przyczyna: błędna konfiguracja serwera.
 

Rozwiązanie:

  • Zweryfikuj poprawność definicji danego serwera (adres IP, numer portu).
  • Sprawdź, czy serwer osiągalny jest przez Wheel Fudo PAM:
  1. Zaloguj się do panelu administracyjnego Wheel Fudo PAM.
  1. Wybierz Ustawienia > System, zakładka Diagnostyka.
  1. Wprowadź adres serwera w sekcji Ping i wykonaj polecenie, żeby sprawdzić osiągalność hosta.
  • Sprawdź, czy serwer jest osiągalny pod wybranym numerem portu:
  1. Zaloguj się do panelu administracyjnego Wheel Fudo PAM.
  1. Wybierz Ustawienia > System, zakładka Diagnostyka.
  1. w sekcji Netcat, wprowadź adres IP serwera wraz z numerem portu wybranej usługi i wykonaj polecenie.
Problem Objawy i opis rozwiązania
Przy próbie logowania nie wszyscy użytkownicy widzą ekran logowania Wheel Fudo PAM (standardowy, z szarym tłem).

Przyczyna:

  • Zapisane poświadczenia w skrócie RDP skutkują ukryciem ekranu Wheel Fudo PAM i bezpośrednim zalogowaniem do serwera docelowego.
  • Zapisane poświadczenia w skrócie RDP, użytkownik używa poświadczeń lokalnych na Wheel Fudo PAM tak więc przed Wheel Fudo PAM jest poprawnie uwierzytelniany i nie pokazuje mu się ekran logowania. Następnie gdy Wheel Fudo PAM robi forward uwierzytelnień do docelowej maszyny to są one nie poprawne i użytkownikowi pokazuje się gina Windows gdzie sam się musi uwierzytelnić.
 

Objawy:

  • Komunikat klienta: Connection closed by remote host.
  • Wpis w dzienniku zdarzeń: Failed to authenticate against the server as user root using password.
  Przyczyna: niepoprawne dane logowania do serwera docelowego.
  Rozwiązanie: zmień dane logowania w konfiguracji obiektu serwera.
   
 

Objawy:

  • Komunikat klienta RDP: Connection refused.
  • Komunikat klienta SSH: ssh: connect to host 10.0.1.111 port 10011: Connection refused
  Przyczyna: serwer jest zablokowany.
  Rozwiązanie: odblokuj serwer w panelu administracyjnym Wheel Fudo PAM.
   
Problem Objawy i opis rozwiązania
Połączenie jest zrywane

Objawy:

  • Użytkownik próbuje się połączyć z serwerem przez Wheel Fudo PAM, po wpisaniu nazwy użytkownika i hasła sesja od razu się zrywa.
  • Komunikat w dzienniku zdarzeń: TLS certificate verification failed.
  Rozwiązanie:
  Pobierz nowy certyfikat serwera docelowego w sekcji Host docelowy.
  host_certificate
 

Objawy:

  • Po wpisaniu nazwy użytkownika i hasła następuje zerwanie połączenia.
  • Wpis w dzienniku zdarzeń: RDP connection error.
  Rozwiązanie: sprawdź czy w zakładce General we właściwościach TCP-Rdp, opcja Encryption level nie jest ustawiona na FIPS Compliant.
   
Brak połączenia z serwerem

Objawy:

  • Nie można zalogować się do serwera, komunikat User user0 not allowed to connect to server.
  • w dzienniku zdarzeń wpis: Authentication failed: User user0 not allowed to connect to server.
  Przyczyna: użytkownik nie jest dodany do połączenia.
  Rozwiązanie: dodaj użytkownika do odpowiedniego obiektu połączenia.
Problem Objawy i opis rozwiązania
 

Objawy:

  • Po wpisaniu nazwy użytkownika i hasła następuje jakby zamrożenie ekranu logowania.
  • Wpis w dzienniku zdarzeń Terminating session: User user0 (id=848388532111147010) is blocked.
  Przyczyna: użytkownik jest zablokowany w Wheel Fudo PAM.
  Rozwiązanie: odblokuj użytkownika.
   
Użytkownik musi logować się dwukrotnie Objawy: użytkownik łącząc się poprzez protokół RDP wpisuje login i hasło po czym po chwili jest proszony o ponowne wprowadzenie danych autoryzujących.
  Przyczyna: serwer stanowi część infrastruktury zarządzanej przez broker połączeń, który wykrył istniejącą aktywną sesję użytkownika na innym serwerze.
   
  Objawy: użytkownik nawiązując połączenie SSH wprowadza dane logowania po czym ponownie proszony jest o ich podanie.
  Przyczyna: w obiekcie połączenie włączone są opcje zastępowania loginu i hasła, ale te pola ich definicji pozostawione są puste, co skutkuje podwójnym uwierzytelnieniem - w pierwszej kolejności przed Fudo, w drugiej przed serwerem docelowym.
   
Nie można nawiązać połączenia z serwerem RDP

Objawy:

  • użytkownik nawiązując połączenie RDP zostaje rozłączony chwilę po uwierzytelnieniu.
  • w dzienniku zdarzeń wpis: RDP server 10.0.0.:33890 has to listen on the default RDP port in order to redirect sessions.
  Przyczyna: serwer docelowy, na który następuje przekierowanie, nie nasłuchuje na porcie 3389.
  Rozwiązanie: skonfiguruj serwer docelowy tak, by oczekiwał na połączenia użytkowników na porcie 3389.
   
 

Objawy:

  • w dzienniku zdarzeń wpis: User user0 has no access to host 192.168.0.1:3389
  Przyczyna: broker stwierdza, że użytkownik ma aktywną sesję na innym serwerze i inicjuje przekierowanie, ale docelowy serwer nie jest skonfigurowany na Wheel Fudo PAM lub użytkownik nie jest uprawniony do nawiązywania połączeń z wybranym zasobem.
 

Rozwiązanie:

  • Upewnij się, że obiekt serwera jest dodany do Fudo.
  • Dodaj użytkownika do odpowiedniego sejfu.
Problem Objawy i opis rozwiązania
Nie można nawiązać połączenia z serwerem Telnet5250 poprzez aplikację PC5250 w wersji 20091005 S oraz 20111019 S Objawy: próba nawiązania połączenia kończy się niepowodzeniem.
  Przyczyna: w przypadku wymienionych wersji aplikacji klienckiej, konieczne jest skonfigurowanie ruchu TCP na portach 449, 8470 i 8476, celem poprawnego zestawienia połączenia.
 

Rozwiązanie:

  • Dodaj serwer Telnet TN5250, z domyślnym numerem portu, tj. 23.
  • Dodaj trzy obiekty typu serwer o protokole TCP i numerach portów odpowiednio 449, 8470 i 8476.
  • Dodaj gniazdo nasłuchiwania TN5250, w trybie Pośrednik, z domyślnym numerem portu.
  • Dodaj trzy gniazda nasłuchiwania TCP, w trybie Pośrednik, z numerami portów odpowiednio 449, 8470 i 8476.
  • Dodaj konto typu regular, określ parametry uwierzytelnienia i przypisz do głównej definicji serwera TN5250.
  • Dodaj trzy konta typu anonymous przypisując do kolejnych serwerów pomocniczych.
  • Dodaj sejf i przypisz konta wraz z odpowiadającymi gniazdami nasłuchiwania.