Der Benutzer befindet sich nicht in der Zulassungsliste, wenn das Authentifizierungsprofil in PAN-OS 10.1 an einem freigegebenen Speicherort konfiguriert ist

Der Benutzer befindet sich nicht in der Zulassungsliste, wenn das Authentifizierungsprofil in PAN-OS 10.1 an einem freigegebenen Speicherort konfiguriert ist

22614
Created On 07/14/22 20:33 PM - Last Modified 05/10/24 02:29 AM


Symptom


  • Nach dem Upgrade auf 10.1.x kann aufgrund eines Authentifizierungsfehlers keine Verbindung hergestellt GP VPN werden.
  • Beobachten Sie anhand des GlobalProtect Protokolls und des Authentifizierungsprotokolls, dass die Authentifizierung mit dem Fehlercode 1 fehlgeschlagen ist.
    2022-07-05 23:48:24.955 -0500 debug: pan_auth_saml_resp_process(pan_auth_state_engine.c:5410): Check allow list status for User1 (PingFED-Prod_Profile/vsys3)
2022-07-05 23:48:24.955 -0500 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:786): user "User1" is NOT in allow list of auth prof/vsys "PingFED-Prod_Profile/vsys3" (vsys in request "vsys3")
2022-07-05 23:48:24.955 -0500 Error: pan_allowlist_request_process(pan_auth_allow_lock.c:77): Failed to get allow list status for user User1/vsys3/PingFED-Prod_Profile
2022-07-05 23:48:24.955 -0500 SAML SSO authentication failed for user 'User1'. Reason: User is not in allowlist. auth profile 'PingFED-Prod_Profile', vsys 'vsys3', server profile 'PingFED-Prod-iDP_Profile', IdP entityID 'sso:saml2:nelnet:entityid', reply message 'User "User1" is not in allow list' From: x.x.x.y.
2022-07-05 23:48:24.955 -0500 debug: _log_saml_respone(pan_auth_server.c:397): Sent PAN_AUTH_FAILURE SAML response:(authd_id: 7117108164952064060) (SAML err code "1" means NOT in allow list) (return username 'User1') (auth profile 'PingFED-Prod_Profile') (reply msg 'User "User1" is not in allow list') (NameID 'User1') (SessionIndex 'Df34lAHIKjwglvDU2btD4XnWRJ.') (Single Logout enabled? 'No') (Is it CAS (cloud-auth-service)? 'No')

Environment


  • PAN-OS 10.1.x
  • Palo Alto Firewall - Multi Vsys konfiguriert.
  • GlobalProtect VPN mit Authentifizierungsprofil

Cause


 
  • In Version 10.1 und höher wird die Authentifizierungsaufrufanforderung mit einem bestimmten vsys (z. B. vsys3) gesendet und das Authentifizierungsprofil wird in shared definiert. Daher konnte die Zulassungsliste das Authentifizierungsprofil nicht finden und schlägt bei der Überprüfung der Zulassungsliste fehl.
  • Vor Version 10.1 wurde die Authentifizierungsanforderung an einem freigegebenen Speicherort gestellt.

Resolution


Problemumgehung
Ändern Sie das Authentifizierungsprofil von einem freigegebenen Speicherort in einen bestimmten vsys.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqYKCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language