Admin-Accounts, die mit RADIUS konfiguriert sind, können nicht an die Firewall SSH
Resolution
Problem
Wenn sich ein RADIUS-Admin-Benutzer nicht zuerst über den webui in die Palo Alto Networks-Firewall authentifiziert, kann sich dieser Benutzer nicht über den SSH authentifizieren.
Ursache
Bei der Konfiguration des lokalen Admin-Benutzers auf der Palo Alto Networks Firewall wird für diesen Benutzer ein Home-Verzeichnis erstellt. Wenn das Authentifizierungs Profil eines Admin-Benutzers nur für RADIUS definiert ist, dann hat die Firewall nicht das entsprechende Home-Verzeichnis des Benutzers. In diesem Fall scheitert das erste Login über SSH, weil es kein Home-Verzeichnis auf der Firewall gibt. Wenn der Benutzer sich durch das WebUI anmeldet, wird das Home-Verzeichnis für nachfolgende SSH-Logons erstellt.
Lösung
Admin-Accounts mit RADIUS benötigen zuerst eine WebUI-Anmeldung, bevor das SSH-Logon funktioniert. Ein zusätzlicher Workaround für dieses Problem ist es, lokale Admin-Accounts auf der Firewall über das Gerät > Administratoren-Tab für Administratoren zu konfigurieren, die nur CLI-Befehls Zugriff hätten.
Besitzer: Dmaynard