外部認証サーバーで構成された管理者ロールが適用されないfirewall管理者ユーザー。

• tacacs とローカル データベースで設定された同じ管理者ユーザ。
• カスタム ロールで設定された Tacacs サーバと、読み取り専用ロールで設定されたローカル データベース
• 認証シーケンスは Tacacs に設定され、その後に管理アクセス用のローカル データベースが続きます。
• ベンダー固有の属性 (VSA ) 管理者ロールが正しく構成され (PaloAlto-Admin_Role)、authd.log に従って受信された (少ない mp-log authd.log )
• を適用する代わりに、VSA役割、Firewallローカルに構成された管理者ロールを管理者ユーザーに適用します。

debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1418): start to authorize user "user1"
debug: pan_auth_mgr_get_userinfo(pan_auth_mgr.c:1837): Found userinfo (name/role/ado) cache entry: user1/Custom_all/
debug: pan_auth_cache_get_pw_profile_global(pan_auth_cache_pw_complexity.c:114): password complexity is NOT enabled, so change_expiry_period=0, change_warning_period=0, expired_adminlogin_count=0, expiry_grace_period=0 are ignored
debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1527): Sent authorization response for user "user1": role/domain="Custom_all/"; expiring_in_days=-1; rem_grace_period=-1, rem_login_count=-1

• パロアルト Firewall
• PAN-OS 9.1以上
• TACACS の設定。

1. ローカル管理データベースから管理者アカウントを削除し、外部サーバーのみを管理者アカウントの認証と承認に使用します。この場合、firewall外部サーバーが提供する管理者ロールを適用します。  
2. ユーザーが外部サーバーまたはローカル データベースで認証されている場合は、同じ管理者ロールを適用します。

• によるパロアルト管理アクセス TACACS
• 外部 Tacacs.net サンプル構成ファイル