Erreur de connexion: « Utilisateur non valide » lors de l’autorisation via TACACS + pour l’utilisateur de gestion
21538
Created On 12/07/18 03:07 AM - Last Modified 08/13/21 21:41 PM
Symptom
- Utilisateur admin configuré Firewall pour être autorisé via TACACS +
- En nous connectant firewall au, nous recevons l’erreur « Utilisateur non valide »
- Voir la réponse « Impossible d’obtenir le rôle d’utilisateur pour l’utilisateur » à partir de authd.log le CLI
> less mp-log authd.log 2018-11-12 18:17:35.941 +0530 debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1395): start to authorize user "testAdminUser" 2018-11-12 18:17:35.941 +0530 debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1408): Could not get user role for user testAdminUser
Environment
- PAN-OS
- TACACS+ Authentification pour les utilisateurs de gestion
Cause
L’attribut et la VSA valeur «Cisco-poids du commerce-paire = SecurityAdmin» configurés sur le TACACS + serveur n’identifient pas ou ne sont pas pris en charge PAN-OS par.
Voir authd.log ci-dessous
> less mp-log authd.log
2018-11-12 18:17:35.262 +0530 debug: pan_authd_tacplus_authenticate(pan_authd_shared_tacplus.c:315): VSA from Tacacs+ server: attr[0] - Cisco-av-pair=SecurityAdmin
2018-11-12 18:17:35.262 +0530 VSA attr: Cisco-av-pair = SecurityAdminResolution
Configurez le TACACS serveur + avec des attributs spécifiques au fournisseur ( VSA ). Nous devrions avoir PaloAlto-Admin-RoleVSA pour Firewall l’utilisateur et PaloAlto- Panorama -Admin-Role VSA pour Panorama l’utilisateur défini sur TACACS +
Additional Information
Configurer TACACS + Authentification
Palo Alto Networks Management Access via TACACS