L’utilisateur n’est pas dans la liste verte lorsque le profil d’authentification est configuré dans un emplacement partagé dans PAN-OS la version 10.1

L’utilisateur n’est pas dans la liste verte lorsque le profil d’authentification est configuré dans un emplacement partagé dans PAN-OS la version 10.1

22616
Created On 07/14/22 20:33 PM - Last Modified 05/10/24 02:29 AM


Symptom


  • Après la mise à niveau vers la version 10.1.x , impossible de se connecter GP VPN en raison d’un échec d’authentification.
  • À partir du journal et du GlobalProtect journal d’authentification, observez l’échec de l’authentification avec le code d’erreur 1.
    2022-07-05 23:48:24.955 -0500 debug: pan_auth_saml_resp_process(pan_auth_state_engine.c:5410): Check allow list status for User1 (PingFED-Prod_Profile/vsys3)
2022-07-05 23:48:24.955 -0500 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:786): user "User1" is NOT in allow list of auth prof/vsys "PingFED-Prod_Profile/vsys3" (vsys in request "vsys3")
2022-07-05 23:48:24.955 -0500 Error: pan_allowlist_request_process(pan_auth_allow_lock.c:77): Failed to get allow list status for user User1/vsys3/PingFED-Prod_Profile
2022-07-05 23:48:24.955 -0500 SAML SSO authentication failed for user 'User1'. Reason: User is not in allowlist. auth profile 'PingFED-Prod_Profile', vsys 'vsys3', server profile 'PingFED-Prod-iDP_Profile', IdP entityID 'sso:saml2:nelnet:entityid', reply message 'User "User1" is not in allow list' From: x.x.x.y.
2022-07-05 23:48:24.955 -0500 debug: _log_saml_respone(pan_auth_server.c:397): Sent PAN_AUTH_FAILURE SAML response:(authd_id: 7117108164952064060) (SAML err code "1" means NOT in allow list) (return username 'User1') (auth profile 'PingFED-Prod_Profile') (reply msg 'User "User1" is not in allow list') (NameID 'User1') (SessionIndex 'Df34lAHIKjwglvDU2btD4XnWRJ.') (Single Logout enabled? 'No') (Is it CAS (cloud-auth-service)? 'No')

Environment


  • PAN-OS 10.1.x
  • Palo Alto Firewall - Multi Vsys configuré.
  • GlobalProtect VPN avec profil d’authentification

Cause


 
  • Dans la version 10.1 et ultérieure, la demande d’appel d’authentification est envoyée avec vsys spécifique (par exemple, vsys3) et le profil d’authentification est défini dans shared. Ainsi, la liste verte n’a pas pu trouver le profil d’authentification et échoue à la vérification de la liste verte.
  • Avant la version 10.1, la demande d’authentification était effectuée dans un emplacement partagé.

Resolution


Solution de contournement
Modifiez le profil d’authentification de l’emplacement partagé à vsys spécifique.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqYKCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language