El rol de administrador configurado en el servidor de autenticación externo no se aplica para firewall el usuario administrador.

• El mismo usuario administrador configurado en tacacs y base de datos local.
• Servidor Tacacs configurado con rol personalizado y base de datos local configurada con rol de solo lectura
• La secuencia de autenticación se establece en Tacacs seguida de una base de datos local para el acceso de administración.
• Atributos específicos del proveedor () para el rol de administrador configurado correctamente (PaloAlto-Admin_Role) y recibido según authd.log (VSAmenos mp-log authd.log)
• En lugar de aplicar el rol, aplica Firewall el VSA rol de administrador configurado localmente al usuario administrador.

debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1418): start to authorize user "user1"
debug: pan_auth_mgr_get_userinfo(pan_auth_mgr.c:1837): Found userinfo (name/role/ado) cache entry: user1/Custom_all/
debug: pan_auth_cache_get_pw_profile_global(pan_auth_cache_pw_complexity.c:114): password complexity is NOT enabled, so change_expiry_period=0, change_warning_period=0, expired_adminlogin_count=0, expiry_grace_period=0 are ignored
debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1527): Sent authorization response for user "user1": role/domain="Custom_all/"; expiring_in_days=-1; rem_grace_period=-1, rem_login_count=-1

• Palo Alto Firewall
• PAN-OS 9.1 o superior
• Configuración de tacacs.

1. Elimine la cuenta de administrador de la base de datos de administración local y use solo un servidor externo para la autenticación y autorización de la cuenta de administrador.En este caso, se firewall aplicará el rol de administrador proporcionado por el servidor externo.  
2. Aplique el mismo rol de administrador cuando el usuario se autentique en un servidor externo o en una base de datos local.

• Acceso a la administración de Palo Alto con TACACS
• Archivo de configuración de ejemplo de Tacacs.net externo