IAM/IAG ไม่สามารถใช้งาน SSO กับ AD

Event ID: 10036

Message: "The server-side authentication level policy does not allow the user %1\%2 SID (%3) from address %4 to activate DCOM server. Please raise the activation authentication level at least to RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in client application."

(%1 – domain, %2 – user name, %3 – User SID, %4 – Client IP Address)

 

เนื่องจาก Microsoft AD มีการ Patch เพื่อเพิ่ม Security ขึ้นทำให้การดึงข้อมูลของ IAM/IAG ไม่สามารถใช้งานได้

 

 

The AD domain has updated Microsoft's latest KB5005568 (the patch on win server 2019 is called this, and other system versions are not sure). After installed this Windowsm patch, the security level of the dcom connection will be required to reach the RPC_C_AUTHN_LEVEL_PKT_INTEGRITY level. If this level is not reached, a security warning will be prompted , and the security level of the wmic tool integrated on the IAM/IAG device is the default level when creating a new dcom connection, which causes a large number of alarm logs to be generated every time we call the wmic tool to fetch logs from the domain. For patch information, Please refer to https://support.microsoft.com/en-us/topic/kb5004442-manage-changes-for-windows-dcom-server-security-feature-bypass-cve-2021-26414-f1400b52-c141-43d2-941e-37ed901c769c

 

 

Step 1: Confirm ว่า IAM/IAG มีการใช้งาน Microsoft AD Domain SSO.

Step 2: Confirm ว่ามี event log ดังกล่าวแสดงอยู่ใน Microsoft AD server.

 

 

1. ติดตั้ง Patch KB-AC-20220112-000-001 ผ่าน Updater เพื่อแก้ไขปัญหา(อยู่ด้านล่าง),
Patch รองรับ IAM/IAG เวอร์ชั่น 11.x และสูงกว่า. (ไม่สามารถใช้กับ NGAF ได้ - ให้ติดต่อ Support เพื่อดำเนินการ)
IAM upgrade steps guidance

2. Patch นี้ไม่มีการReboot หลังติดตั้ง

- หรือ -

3. Upgrade เป็น IAG 13.0.72 (Require Reboot) หรือสูงกว่า

IAM upgrade steps guidance
https://community.sangfor.com/plugin.php?id=service:download&action=view&fid=9#/6/all