SAML Authentifizierung schlägt nach dem Upgrade auf PAN-OS 10.1 in einer Multi-VSYS-Umgebung fehl

SAML Authentifizierung schlägt nach dem Upgrade auf PAN-OS 10.1 in einer Multi-VSYS-Umgebung fehl

7553
Created On 07/29/22 13:00 PM - Last Modified 04/18/23 03:43 AM


Symptom


SAML Die Authentifizierung schlägt nach dem firewall Upgrade auf PAN-OS 10.1 in einer Multi-vsys-Umgebung fehl

Environment


  • Panorama Verwaltet Firewall oder eigenständig Firewall.
  • PAN-OS 10.1 und höher.
  • SAMLDas Authentifizierungsprofil wird von Panorama einem freigegebenen Speicherort gepusht und befindet sich an einem freigegebenen Speicherort oder einem lokalen Authentifizierungsprofil an einem SAML freigegebenen Speicherort.
  • GlobalProtect Authentifizierung.
  • Authentifizierungsportal.

Cause


  • Die Authentifizierung schlägt fehl, da sie sich auf vsys1 bezieht, während sich das SAML Authentifizierungsprofil an einem freigegebenen Speicherort befindet, wenn es von Panorama
  • Nachfolgend finden Sie beispielsweise den Benutzernamen und SAML das Authentifizierungsprofil, die in der Konfiguration verwendet werden:
    • Benutzer: user1@testlab.com
    • SAML Authentifizierungsprofil: SAML-Auth-Profil
  • In der folgenden authd.log verweist das Authentifizierungsprofil SAML-Auth-Profile auf vsys1, aber das SAML Profil befindet sich am freigegebenen Speicherort
> tail follow yes mp-log authd.log

debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:786): user "user1@testlab.com" is NOT 
in allow list of auth prof/vsys "SAML-Auth-Profile/shared" (vsys in request "vsys1")
  • Gleiches gilt, wenn das SAML Authentifizierungsprofil SAML-Auth-Profile lokal auf dem firewall
> tail follow yes mp-log authd.log

-0700 debug: pan_auth_saml_resp_process(pan_auth_state_engine.c:5410): Check allow list status for user1@testlab.com (SAML-Auth-Profile/vsys1)
-0700 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:786): user "user1@testlab.com" is NOT in allow list of auth prof/vsys 
"SAML-Auth-Profile/vsys1"  (vsys in request "vsys1")
-0700 Error:  pan_allowlist_request_process(pan_auth_allow_lock.c:77): Failed to get allow list status for user user1@testlab.com/vsys1/SAML-Auth-Profile
-0700 SAML SSO authentication failed for user 'user1@testlab.com'.  Reason: User is not in allowlist. 
auth profile 'SAML-Auth-Profile', vsys 'vsys1', server profile 'SAML-Auth-Profile', IdP entityID 'http://www.okta.com/exk3q4flalZkFtUca357', reply message 
'User "user1@testlab.com" is not in allow list' From: 192.168.0.150.
-0700 debug: _log_saml_respone(pan_auth_server.c:397): Sent PAN_AUTH_FAILURE SAML response:(authd_id: 7215373786869138305) (SAML err code "1" 
means NOT in allow list) (return username 'user1@testlab.com') (auth profile 'SAML-Auth-Profile') (reply msg 'User "user1@testlab.com" 
is not in allow list') (NameID 'user1@testlab.com') (SessionIndex '_d00ed823038ada878bdfe4f69dea5755') (Single Logout enabled? 'Yes')
 (Is it CAS (cloud-auth-service)? 'No')

Resolution


  1. Das Problem wurde behoben und ist in PAN-190454 PAN-OS 10.2.4, 10.1.9, 11.0.1 verfügbar
  2. Ein Upgrade auf die korrigierte Version behebt das Problem.


Problemumgehung: Ändern Sie den Speicherort des Authentifizierungsprofils SAML von "freigegeben" in eine bestimmte Ziel-vsys , in der es aufgerufen wird
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Cqu1CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language