Die auf dem externen Authentifizierungsserver konfigurierte Administratorrolle wird nicht für firewall den Admin-Benutzer angewendet.

• Derselbe Admin-Benutzer, der auf tacacs und der lokalen Datenbank konfiguriert ist.
• Tacacs-Server mit benutzerdefinierter Rolle konfiguriert und lokale Datenbank mit schreibgeschützter Rolle konfiguriert
• Die Authentifizierungssequenz ist auf Tacacs eingestellt, gefolgt von einer lokalen Datenbank für den Verwaltungszugriff.
• Herstellerspezifische Attribute () für die Admin-Rolle korrekt konfiguriert (PaloAlto-Admin_Role) und gemäß authd empfangen.log (VSAweniger mp-log authd.log)
• Anstatt die Rolle anzuwenden, wendet die VSA Firewall lokal konfigurierte Administratorrolle auf den Benutzer admin an.

debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1418): start to authorize user "user1"
debug: pan_auth_mgr_get_userinfo(pan_auth_mgr.c:1837): Found userinfo (name/role/ado) cache entry: user1/Custom_all/
debug: pan_auth_cache_get_pw_profile_global(pan_auth_cache_pw_complexity.c:114): password complexity is NOT enabled, so change_expiry_period=0, change_warning_period=0, expired_adminlogin_count=0, expiry_grace_period=0 are ignored
debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1527): Sent authorization response for user "user1": role/domain="Custom_all/"; expiring_in_days=-1; rem_grace_period=-1, rem_login_count=-1

• Palo Alto Firewall
• PAN-OS 9.1 oder höher
• Tacacs-Konfiguration.

1. Löschen Sie das Administratorkonto aus der lokalen Administratordatenbank und verwenden Sie nur einen externen Server für die Authentifizierung und Autorisierung des Administratorkontos.In diesem Fall wird die firewall vom externen Server bereitgestellte Admin-Rolle angewendet.  
2. Wenden Sie dieselbe Administratorrolle an, wenn der Benutzer auf einem externen Server oder einer lokalen Datenbank authentifiziert wird.

• Palo Alto Management Access mit TACACS
• Externe Tacacs.net Beispielkonfigurationsdatei