SAML へのアップグレード後に認証が失敗するPAN-OSマルチ vsys 環境での 10.1

SAML へのアップグレード後に認証が失敗するPAN-OSマルチ vsys 環境での 10.1

7551
Created On 07/29/22 13:00 PM - Last Modified 04/18/23 03:43 AM


Symptom


SAML のアップグレード後に認証が失敗するfirewallにPAN-OSマルチ vsys 環境での 10.1

Environment


  • Panorama マネージドFirewallまたはスタンドアロンFirewall.
  • PAN-OS 10.1 以上。
  • SAMLからプッシュされた認証プロファイルPanorama共有の場所またはローカルにあるSAML共有の場所にある認証プロファイル。
  • GlobalProtect 認証。
  • 認証ポータル。

Cause


  • 参照しているため、認証は失敗しますvsys1一方、SAML認証プロファイルは、プッシュ時に共有の場所にあります Panorama
  • たとえば、以下はユーザー名とSAML構成で使用される認証プロファイル:
    • ユーザー: user1@testlab.com
    • SAML 認証プロファイル:SAML-認証プロファイル
  • の中にauthd.log以下、SAML認証プロファイルSAML-認証プロファイルを指しているvsys1しかし、プロファイルは共有の場所にあります
> tail follow yes mp-log authd.log

debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:786): user "user1@testlab.com" is NOT 
in allow list of auth prof/vsys "SAML-Auth-Profile/shared" (vsys in request "vsys1")
  • 同じことが観察されますSAML認証プロファイルSAML-認証プロファイルでローカルに構成されている firewall
> tail follow yes mp-log authd.log

-0700 debug: pan_auth_saml_resp_process(pan_auth_state_engine.c:5410): Check allow list status for user1@testlab.com (SAML-Auth-Profile/vsys1)
-0700 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:786): user "user1@testlab.com" is NOT in allow list of auth prof/vsys 
"SAML-Auth-Profile/vsys1"  (vsys in request "vsys1")
-0700 Error:  pan_allowlist_request_process(pan_auth_allow_lock.c:77): Failed to get allow list status for user user1@testlab.com/vsys1/SAML-Auth-Profile
-0700 SAML SSO authentication failed for user 'user1@testlab.com'.  Reason: User is not in allowlist. 
auth profile 'SAML-Auth-Profile', vsys 'vsys1', server profile 'SAML-Auth-Profile', IdP entityID 'http://www.okta.com/exk3q4flalZkFtUca357', reply message 
'User "user1@testlab.com" is not in allow list' From: 192.168.0.150.
-0700 debug: _log_saml_respone(pan_auth_server.c:397): Sent PAN_AUTH_FAILURE SAML response:(authd_id: 7215373786869138305) (SAML err code "1" 
means NOT in allow list) (return username 'user1@testlab.com') (auth profile 'SAML-Auth-Profile') (reply msg 'User "user1@testlab.com" 
is not in allow list') (NameID 'user1@testlab.com') (SessionIndex '_d00ed823038ada878bdfe4f69dea5755') (Single Logout enabled? 'Yes')
 (Is it CAS (cloud-auth-service)? 'No')

Resolution


  1. この問題は修正されていますPAN-190454で利用可能PAN-OS10.2.4 、10.1.9、11.0.1
  2. 修正済みバージョンにアップグレードすると、問題が解決します。


回避策:の場所を変更するSAML共有から特定のターゲットへの認証プロファイルvsys呼び出される場所
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Cqu1CAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language