Las cuentas de administración configuradas con RADIUS no son capaces de ssh al firewall

Incidencia

Si un usuario admin de RADIUS no se autentica al cortafuegos de Palo Alto Networks a través de WebUI First, ese usuario no puede autenticarse a través de SSH.

Causa

Al configurar el usuario admin local en el cortafuegos de Palo Alto Networks, se crea un directorio home para ese usuario. Si el perfil de autenticación de un usuario admin sólo se define para RADIUS, el cortafuegos no tiene el directorio de inicio correspondiente del usuario. En este caso, la primera vez que se inicia la sesión a través de ssh falla porque no hay directorio home en el firewall. Cuando el usuario inicia la sesión a través de WebUI, creará el directorio home para los siguientes inicios del protocolo SSH.

Resolución

Las cuentas de administración que utilizan RADIUS requieren un inicio de sesión WebUI primero, antes de que funcione el inicio de sesión SSH. Una solución alternativa adicional para este problema es configurar cuentas de administración local en el Firewall a través del dispositivo > ficha administradores para administradores que sólo tendría acceso de comando CLI.

Propietario: dmaynard