TACACS 構成が機能していません - システム ログ エラー: 理由: ユーザーの認証プロファイルが見つかりません。
58641
Created On 04/15/20 19:52 PM - Last Modified 03/26/21 18:16 PM
Symptom
- 認証用に Tacacs が設定されている場合、ユーザはログインできません。
- システム ログ エラー:
2020/04/15 08:02:39 medium auth auth-fa 0 failed authentication for user 'username'. Reason: Authentication profile
not found for the user. From: 123.45.67.89.
2020/04/15 07:33:18 medium auth auth-fa 0 failed authentication for user 'username'. Reason: Authentication profile
not found for the user. From: 123.45.67.89.
- On CLI : テスト認証コマンドは成功します。
> test authentication authentication-profile tacacs-profile username 'username' password
Enter password :
Target vsys is not specified, user "'username' is assumed to be configured with a shared auth profile.
Do allow list check before sending out authentication request...
name 'username' is in group "all"
Authentication to TACACS+ server at '123.45.67.88' for user ''username''
Server port: 49, timeout: 3, flag: 4
Egress: 10.10.10.10
Attempting PAP authentication ...
PAP authentication request is created
PAP authentication request is sent with priv_lvl=1 user='username' remote address=10.10.10.10
Authorization request is created
Authorization request sent with priv_lvl=1 user='username' service=PaloAlto protocol=firewall remote address=10.10.10.10
Authorization succeeded
Number of VSA returned: 1
VSA[0]: PaloAlto-Admin-Role=superuser
Authentication succeeded!
Authentication succeeded for user "username"Environment
- 任意 PAN-OS の .
- パロ アルト Firewall .
- TACACS+ 認証用に設定されています。
Cause
- [デバイス>のセットアップ>の認証設定] で、認証プロファイル> [なし] に設定されています。
- 認証プロファイルは、ローカル以外の管理者に使用するために更新する必要があります。 RADIUS TACACS のみ、+、および SAML メソッドがサポートされています。
Resolution
- firewallは、[デバイス >の設定] > [管理]ですべての外部管理者に対して認証プロファイルを使用し、認証設定を編集するように構成されています。
- 構成済みの認証プロファイル { TACACS プロファイル} を選択し、変更をコミットします。
Additional Information
出力: tail は、次のようにはい mp-log authd.logに従います。
debug: pan_auth_request_process(pan_auth_state_engine.c:3358): Receive request: msg type PAN_AUTH_REQ_REMOTE_INIT_AUTH,
conv id 2, body length 2416
debug: _authenticate_initial(pan_auth_state_engine.c:2383): Trying to authenticate (init auth): <profile: "", vsys: "",
policy: "", username "'username'"> ; timeout setting: 180 secs ; authd id: 6813065420023529573
debug: _get_auth_prof_detail(pan_auth_util.c:1081): admin user thru WebUI ''username''
Error: pan_auth_cache_get_admin_authprof(pan_auth_cache_adminusers.c:260): No default auth profile found for username
''username''
Error: _get_admin_authentication_profile_by_name(pan_auth_util.c:551): No admin auth prof found with the name ''username''
Error: _get_admin_authentication_profile(pan_auth_util.c:596): No auth prof/vsys is found for admin user ''username''
Error: pan_get_authprofile_n_setting(pan_auth_util.c:1156): Failed to get authentication profile for admin user thru
WebUI ''username'' failed authentication for user ''username''. Reason: Authentication profile not found for the user.
From: 123.45.67.89.
debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_FAILURE auth response for user 'username'' (exp_in_days=-1
(-1 never; 0 within a day))(authd_id: 6813065420023529573)
Error: _authenticate_initial(pan_auth_state_engine.c:2551): Failed to get authentication profile