SAML Authentifizierung fehlgeschlagen für (vsys) Benutzer mit Ursache: "Benutzer ist nicht in der Allowlist" nach dem Upgrade firewall auf 10.1.x
14062
Created On 08/17/22 02:01 AM - Last Modified 03/24/23 07:30 AM
Symptom
• Nach dem Upgrade auf PAN-OS 10.1.x können (vsys) Benutzer aufgrund eines Authentifizierungsfehlers keine Verbindung herstellen GP VPN .
• SAML SSO Authentifizierung fehlgeschlagen für (vsys) Benutzer mit dem Grund: "Benutzer ist nicht in der Allowlist" im Systemprotokoll / authd.log
Environment
- GlobalProtectmit SAML Authentifizierungsprofil
- NGFW Firewall mit (multi-vsys)
- SAML Authentifizierungsprofil am freigegebenen Speicherort
- Upgrade von PAN-OS 10.0 oder niedriger auf PAN-OS 10.1.4
Cause
- In PAN-OS Version 10.1 und höher wird die Authentifizierungsanforderung mit bestimmten vsys (z. B. vsys2) gesendet und das Authentifizierungsprofil wird in shared definiert.
- Daher konnte die Zulassungsliste das Authentifizierungsprofil nicht finden, und die Überprüfung der Zulassungsliste schlägt für vsys-Benutzer nach dem Upgrade firewall auf 10.1.x fehl
- PAN-OS Vor Version 10.1 wurde die Authentifizierungsanforderung an einem freigegebenen Speicherort gestellt.
- Es gibt ein bekanntes Problem PAN-190454 und die Ziel-Fix-Version ist 10.1.9, PAN-OS 11.0.1, 10.2.4
Resolution
Führen Sie ein Upgrade auf PAN-OS 10.1.9, 11.0.1 oder 10.2.4 durch, um das Problem zu beheben PAN-190454
Problemumgehung
Verschieben des SAML Authentifizierungsprofils vom freigegebenen Speicherort in die entsprechende vsys