El usuario no está en la lista de permitidos cuando el perfil de autenticación está configurado en una ubicación compartida en PAN-OS 10.1

El usuario no está en la lista de permitidos cuando el perfil de autenticación está configurado en una ubicación compartida en PAN-OS 10.1

22612
Created On 07/14/22 20:33 PM - Last Modified 05/10/24 02:29 AM


Symptom


  • Después de actualizar a 10.1.x, no se puede conectar GP VPN debido a un error de autenticación.
  • Desde el registro y el registro de authd, observe que la autenticación falla con el código de GlobalProtect error 1 .
    2022-07-05 23:48:24.955 -0500 debug: pan_auth_saml_resp_process(pan_auth_state_engine.c:5410): Check allow list status for User1 (PingFED-Prod_Profile/vsys3)
2022-07-05 23:48:24.955 -0500 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:786): user "User1" is NOT in allow list of auth prof/vsys "PingFED-Prod_Profile/vsys3" (vsys in request "vsys3")
2022-07-05 23:48:24.955 -0500 Error: pan_allowlist_request_process(pan_auth_allow_lock.c:77): Failed to get allow list status for user User1/vsys3/PingFED-Prod_Profile
2022-07-05 23:48:24.955 -0500 SAML SSO authentication failed for user 'User1'. Reason: User is not in allowlist. auth profile 'PingFED-Prod_Profile', vsys 'vsys3', server profile 'PingFED-Prod-iDP_Profile', IdP entityID 'sso:saml2:nelnet:entityid', reply message 'User "User1" is not in allow list' From: x.x.x.y.
2022-07-05 23:48:24.955 -0500 debug: _log_saml_respone(pan_auth_server.c:397): Sent PAN_AUTH_FAILURE SAML response:(authd_id: 7117108164952064060) (SAML err code "1" means NOT in allow list) (return username 'User1') (auth profile 'PingFED-Prod_Profile') (reply msg 'User "User1" is not in allow list') (NameID 'User1') (SessionIndex 'Df34lAHIKjwglvDU2btD4XnWRJ.') (Single Logout enabled? 'No') (Is it CAS (cloud-auth-service)? 'No')

Environment


  • PAN-OS 10.1.x
  • Palo Alto Firewall - Multi Vsys configurado.
  • GlobalProtect VPN con perfil de autenticación

Cause


 
  • En la versión 10.1 y superior, la solicitud de llamada de autenticación se envía con vsys específico (por ejemplo, vsys3) y el perfil de autenticación se define en compartido. Por lo tanto, la lista de permitidos no pudo encontrar el perfil de autenticación y no supera la comprobación de la lista de permitidos.
  • Antes de la versión 10.1, la solicitud de autenticación se realizaba en una ubicación compartida.

Resolution


Solución alternativa
Cambie el perfil de autenticación de ubicación compartida a vsys específico.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqYKCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language