未申请在外部身份验证服务器上配置的管理员角色firewall管理员用户。

• 在 tacacs 和本地数据库上配置了相同的管理员用户。
• 配置了自定义角色的 Tacacs 服务器和配置了只读角色的本地数据库
• 授权序列设置为 Tacacs，然后是用于管理访问的本地数据库。
• 供应商特定属性 (VSA ) 为管理员角色正确配置 (PaloAlto-Admin_Role) 并根据 authd.log (少 mp-log authd.log )
• 而不是应用VSA角色，Firewall将本地配置的管理员角色应用到管理员用户。

debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1418): start to authorize user "user1"
debug: pan_auth_mgr_get_userinfo(pan_auth_mgr.c:1837): Found userinfo (name/role/ado) cache entry: user1/Custom_all/
debug: pan_auth_cache_get_pw_profile_global(pan_auth_cache_pw_complexity.c:114): password complexity is NOT enabled, so change_expiry_period=0, change_warning_period=0, expired_adminlogin_count=0, expiry_grace_period=0 are ignored
debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1527): Sent authorization response for user "user1": role/domain="Custom_all/"; expiring_in_days=-1; rem_grace_period=-1, rem_login_count=-1

• 帕洛阿尔托 Firewall
• PAN-OS 9.1或更高
• Tacacs 配置。

1. 从本地admin数据库中删除admin账号，只使用外部服务器对admin账号进行认证授权。在这种情况下firewall将应用外部服务器提供的管理员角色。  
2. 当用户在外部服务器或本地数据库上进行身份验证时，应用相同的管理员角色。

• 帕洛阿尔托管理访问 TACACS
• 外部 Tacacs.net 示例配置文件