我在使用 F5 APM 模块时遇到了一些恼人且持续存在的问题。
我正在尝试在 F5 BIG-IP 版本 15.1 中设置具有 2FA 的 SSLVPN。我们正在使用分区和路由域,并且此处描述的所有内容均已在非默认路由域中配置(例如5在这种情况下)和非公共分区(例如例子)此路由域5是默认路由域例子分割。
我能够使用 localdb 配置 SSLVPN 登录,但是当我尝试通过 http 身份验证代理将 2FA 添加到外部邮件/短信服务器时,APM 模块中出现 curl 超时:
HTTP 模块:使用“用户名”进行身份验证失败:Curl 执行失败:已达到超时(28)
我设置了一个指向同一分区中的虚拟服务器的 AAA HTTP 服务器。该虚拟服务器有一个重定向 iRule,可将请求重定向到外部 https 端点。如果我尝试使用正确的路由域(使用rdexec 5 卷曲...),一切都进行得很顺利。
但是,当尝试登录 SSLVPN 并触发 HTTP 身份验证代理调用时,APM 失败并出现上述错误。我偶然发现了以下 F5 文章:
https://my.f5.com/manage/s/article/K71206522
BIG-IP APM 系统始终使用路由域 0 连接到 RSA SecurID 服务器进行身份验证,无论配置的路由域如何。当 SecurID AAA 服务器的代理主机 IP 地址配置在 0 以外的路由域中时,BIG-IP APM 系统无法连接到 RSA SecurID 服务器。
https://my.f5.com/manage/s/article/K20465715
891465
添加对使用 AAA HTTP 和电子邮件代理的路由域的支持
只有具有选择池选项的 AAA 服务器才支持路由域。HTTP AAA 服务器没有选择池的选项。此外,支持电子邮件代理所需的 SMTP 配置没有选择池的选项。
那么,当我假设 APM 尝试从公共分区调用虚拟服务器(即使内容在示例分区中定义),但由于无法在那里找到路由而失败时,我的思路是否正确?公共分区中没有默认 gw。