Le rôle d’administrateur configuré sur le serveur d’authentification externe n’est pas appliqué à firewall l’utilisateur administrateur.

• Même utilisateur admin configuré sur tacacs et base de données locale.
• Serveur Tacacs configuré avec un rôle personnalisé et base de données locale configurée avec un rôle en lecture seule
• La séquence d’authentification est définie sur Tacacs suivie de la base de données locale pour l’accès à la gestion.
• Attributs spécifiques au fournisseur () pour le rôle d’administrateur correctement configuré (PaloAlto-Admin_Role) et reçu selon authd.log (VSAmoins mp-log authd.log)
• Au lieu d’appliquer le rôle, le applique le VSA Firewall rôle d’administrateur configuré localement à l’utilisateur administrateur.

debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1418): start to authorize user "user1"
debug: pan_auth_mgr_get_userinfo(pan_auth_mgr.c:1837): Found userinfo (name/role/ado) cache entry: user1/Custom_all/
debug: pan_auth_cache_get_pw_profile_global(pan_auth_cache_pw_complexity.c:114): password complexity is NOT enabled, so change_expiry_period=0, change_warning_period=0, expired_adminlogin_count=0, expiry_grace_period=0 are ignored
debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1527): Sent authorization response for user "user1": role/domain="Custom_all/"; expiring_in_days=-1; rem_grace_period=-1, rem_login_count=-1

• Palo Alto (Palo Alto) Firewall
• PAN-OS 9.1 ou supérieur
• Configuration de Tacacs.

1. Supprimez le compte administrateur de la base de données d’administration locale et utilisez uniquement un serveur externe pour l’authentification et l’autorisation du compte administrateur.Dans ce cas, le appliquera le rôle d’administrateur fourni par le firewall serveur externe.  
2. Appliquez le même rôle d’administrateur lorsque l’utilisateur est authentifié sur un serveur externe ou une base de données locale.

• Palo Alto Management Access avec TACACS
• Exemple de fichier de configuration de Tacacs.net externe