の共有の場所で認証プロファイルが構成されている場合、ユーザーは許可リストに含まれていません。PAN-OS 10.1
22618
Created On 07/14/22 20:33 PM - Last Modified 05/10/24 02:29 AM
Symptom
- 10.1.x にアップグレードした後、接続できませんGP VPN認証失敗のため。
- からGlobalProtectlog および authd log で、認証がエラー コード 1 で失敗したことを確認します。
2022-07-05 23:48:24.955 -0500 debug: pan_auth_saml_resp_process(pan_auth_state_engine.c:5410): Check allow list status for User1 (PingFED-Prod_Profile/vsys3) 2022-07-05 23:48:24.955 -0500 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:786): user "User1" is NOT in allow list of auth prof/vsys "PingFED-Prod_Profile/vsys3" (vsys in request "vsys3") 2022-07-05 23:48:24.955 -0500 Error: pan_allowlist_request_process(pan_auth_allow_lock.c:77): Failed to get allow list status for user User1/vsys3/PingFED-Prod_Profile 2022-07-05 23:48:24.955 -0500 SAML SSO authentication failed for user 'User1'. Reason: User is not in allowlist. auth profile 'PingFED-Prod_Profile', vsys 'vsys3', server profile 'PingFED-Prod-iDP_Profile', IdP entityID 'sso:saml2:nelnet:entityid', reply message 'User "User1" is not in allow list' From: x.x.x.y. 2022-07-05 23:48:24.955 -0500 debug: _log_saml_respone(pan_auth_server.c:397): Sent PAN_AUTH_FAILURE SAML response:(authd_id: 7117108164952064060) (SAML err code "1" means NOT in allow list) (return username 'User1') (auth profile 'PingFED-Prod_Profile') (reply msg 'User "User1" is not in allow list') (NameID 'User1') (SessionIndex 'Df34lAHIKjwglvDU2btD4XnWRJ.') (Single Logout enabled? 'No') (Is it CAS (cloud-auth-service)? 'No')
Environment
- PAN-OS 10.1.x
- パロアルトFirewall- マルチ Vsys が構成されています。
- GlobalProtectVPN認証プロファイルあり
Cause
- バージョン 10.1 以降では、認証呼び出し要求は特定の vsys (vsys3 など) で送信され、認証プロファイルは共有で定義されます。 したがって、許可リストは認証プロファイルを見つけることができず、許可リストのチェックに失敗します。
- バージョン 10.1 より前では、認証要求は共有の場所で行われていました。
Resolution
回避策
認証プロファイルを共有場所から特定の vsys に変更します。