登录错误:通过+管理用户获得授权时"无效 TACACS 用户"

登录错误:通过+管理用户获得授权时"无效 TACACS 用户"

21514
Created On 12/07/18 03:07 AM - Last Modified 08/23/21 18:02 PM


Symptom


  • 配置 Firewall 管理员用户通过 TACACS +
  • 登录到 firewall 我们收到的错误"无效用户"
  • 从正德看到"无法为用户获取用户角色"的响应.log CLI
> less mp-log authd.log
2018-11-12 18:17:35.941 +0530 debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1395): start to authorize user "testAdminUser"
2018-11-12 18:17:35.941 +0530 debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1408): Could not get user role for user testAdminUser

 

Environment


  • PAN-OS
  • TACACS• 管理用户的身份验证

 

Cause


在 VSA +服务器上配置的"思科av对=安全管理员"的属性和价值 TACACS 不被识别或支持 PAN-OS 。 
请参阅下面的.log
> less mp-log authd.log
2018-11-12 18:17:35.262 +0530 debug: pan_authd_tacplus_authenticate(pan_authd_shared_tacplus.c:315): VSA from Tacacs+ server: attr[0] - Cisco-av-pair=SecurityAdmin
2018-11-12 18:17:35.262 +0530 VSA attr: Cisco-av-pair = SecurityAdmin

 

Resolution


TACACS配置具有特定供应商特定属性的 VSA +服务器 ( ) 。 我们应该有帕洛阿洛-阿托-管理员-角色VSA Firewall 为用户和帕洛阿托 Panorama -管理员-角色VSA   Panorama 为用户定义 TACACS +
 

Additional Information


配置 TACACS + 身份验证
帕洛阿尔托网络管理访问通过 TACACS
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CmOkCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language