在共享位置配置身份验证配置文件时,用户不在允许列表中PAN-OS10.1
22598
Created On 07/14/22 20:33 PM - Last Modified 05/10/24 02:29 AM
Symptom
- 升级到 10.1.x 后,无法连接GP VPN由于身份验证失败。
- 从GlobalProtectlog 和 authd log,观察身份验证失败,错误代码为 1。
2022-07-05 23:48:24.955 -0500 debug: pan_auth_saml_resp_process(pan_auth_state_engine.c:5410): Check allow list status for User1 (PingFED-Prod_Profile/vsys3) 2022-07-05 23:48:24.955 -0500 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:786): user "User1" is NOT in allow list of auth prof/vsys "PingFED-Prod_Profile/vsys3" (vsys in request "vsys3") 2022-07-05 23:48:24.955 -0500 Error: pan_allowlist_request_process(pan_auth_allow_lock.c:77): Failed to get allow list status for user User1/vsys3/PingFED-Prod_Profile 2022-07-05 23:48:24.955 -0500 SAML SSO authentication failed for user 'User1'. Reason: User is not in allowlist. auth profile 'PingFED-Prod_Profile', vsys 'vsys3', server profile 'PingFED-Prod-iDP_Profile', IdP entityID 'sso:saml2:nelnet:entityid', reply message 'User "User1" is not in allow list' From: x.x.x.y. 2022-07-05 23:48:24.955 -0500 debug: _log_saml_respone(pan_auth_server.c:397): Sent PAN_AUTH_FAILURE SAML response:(authd_id: 7117108164952064060) (SAML err code "1" means NOT in allow list) (return username 'User1') (auth profile 'PingFED-Prod_Profile') (reply msg 'User "User1" is not in allow list') (NameID 'User1') (SessionIndex 'Df34lAHIKjwglvDU2btD4XnWRJ.') (Single Logout enabled? 'No') (Is it CAS (cloud-auth-service)? 'No')
Environment
- PAN-OS 10.1.x
- 帕洛阿尔托Firewall- 配置了多 Vsys。
- GlobalProtectVPN与身份验证配置文件
Cause
- 在版本 10.1 及更高版本中,身份验证调用请求使用特定的 vsys(例如,vsys3)发送,并且身份验证配置文件在共享中定义。 因此,允许列表无法找到身份验证配置文件并且无法通过允许列表检查。
- 在版本 10.1 之前,身份验证请求是在共享位置发出的。
Resolution
解决方法
将身份验证配置文件从共享位置更改为特定 vsys。