Error de inicio de sesión: "Usuario no válido" al ser autorizado a través de TACACS + para el usuario de gestión

Error de inicio de sesión: "Usuario no válido" al ser autorizado a través de TACACS + para el usuario de gestión

21544
Created On 12/07/18 03:07 AM - Last Modified 08/23/21 18:02 PM


Symptom


  • Usuario administrador configurado Firewall para ser autorizado a través de TACACS +
  • Al iniciar sesión en el firewall estamos recibiendo el error "Usuario no válido"
  • Ver la respuesta "No se pudo obtener el rol de usuario para el usuario" de authd.log el CLI
> less mp-log authd.log
2018-11-12 18:17:35.941 +0530 debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1395): start to authorize user "testAdminUser"
2018-11-12 18:17:35.941 +0530 debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1408): Could not get user role for user testAdminUser

 

Environment


  • PAN-OS
  • TACACS+ Autenticación para usuarios de administración

 

Cause


El VSA atributo y el valor"Cisco-av-pair = SecurityAdmin"configurado en + servidor TACACS no es reconocido o soportado por PAN-OS . 
Consulte authd.log a continuación
> less mp-log authd.log
2018-11-12 18:17:35.262 +0530 debug: pan_authd_tacplus_authenticate(pan_authd_shared_tacplus.c:315): VSA from Tacacs+ server: attr[0] - Cisco-av-pair=SecurityAdmin
2018-11-12 18:17:35.262 +0530 VSA attr: Cisco-av-pair = SecurityAdmin

 

Resolution


Configure el TACACS servidor + con atributos específicos del proveedor ( VSA ). Deberíamos tener PaloAlto-Admin-RoleVSA para Firewall el usuario y PaloAlto- Panorama -Admin-Role VSA   para el usuario definido en Panorama TACACS +
 

Additional Information


Configurar TACACS + Autenticación
Palo Alto Networks Management Access a travésdeTACACS
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CmOkCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language