Anmeldefehler: "Ungültiger Benutzer" bei Autorisiert über TACACS + für Managementbenutzer

Anmeldefehler: "Ungültiger Benutzer" bei Autorisiert über TACACS + für Managementbenutzer

21532
Created On 12/07/18 03:07 AM - Last Modified 08/13/21 21:41 PM


Symptom


  • Konfigurierter Firewall Admin-Benutzer, der über + autorisiert werden soll TACACS
  • Wenn Sie sich bei der firewall Wir einloggen, erhalten Sie die Fehlermeldung "Ungültiger Benutzer"
  • Die Antwort "Benutzerrolle für Benutzer konnte nicht abgerufen werden" von authd.log wird angezeigt. CLI
> less mp-log authd.log
2018-11-12 18:17:35.941 +0530 debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1395): start to authorize user "testAdminUser"
2018-11-12 18:17:35.941 +0530 debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1408): Could not get user role for user testAdminUser

 

Environment


  • PAN-OS
  • TACACS+ Authentifizierung für Verwaltungsbenutzer

 

Cause


Das VSA auf dem + Server konfigurierte Attribut und Wert "Cisco-av-pair = SecurityAdmin" TACACS wird von nicht erkannt oder PAN-OS unterstützt. 
Siehe authd.log unten
> less mp-log authd.log
2018-11-12 18:17:35.262 +0530 debug: pan_authd_tacplus_authenticate(pan_authd_shared_tacplus.c:315): VSA from Tacacs+ server: attr[0] - Cisco-av-pair=SecurityAdmin
2018-11-12 18:17:35.262 +0530 VSA attr: Cisco-av-pair = SecurityAdmin

 

Resolution


Konfigurieren Sie den TACACS +-Server mit bestimmten herstellerspezifischen Attributen ( VSA ). Wir sollten PaloAlto-Admin-RoleVSA für Firewall Benutzer und PaloAlto- Panorama -Admin-Rolle VSA   für Benutzer definiert auf Panorama TACACS +
 

Additional Information


Konfigurieren TACACS + Authentifizierung
Palo Alto Networks Management Access über TACACS
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CmOkCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language