SAML アップグレード後、(vsys) ユーザーの認証が理由:「ユーザーが許可リストにありません」で失敗しましたfirewall10.1.x へ
14064
Created On 08/17/22 02:01 AM - Last Modified 03/24/23 07:30 AM
Symptom
• アップグレード後PAN-OS10.1.x、(vsys) ユーザーが接続できないGP VPN認証失敗のため。
•SAML SSO(vsys) ユーザーの認証が、システム ログ/authd.log で「ユーザーが許可リストにありません」という理由で失敗しました。
Environment
- GlobalProtectとSAML認証プロファイル
- NGFW Firewall (マルチ vsys) を使用
- SAML 共有場所の認証プロファイル
- からアップグレードPAN-OS10.0以下~PAN-OS 10.1.4
Cause
- のPAN-OSバージョン 10.1 以降では、認証要求は特定の vsys (例: vsys2) で送信され、認証プロファイルは共有で定義されます。
- したがって、許可リストは認証プロファイルを見つけることができず、vsys ユーザーのアップグレード後に許可リストのチェックが失敗します。firewall 10.1.x へ
- 先立ってPAN-OSバージョン 10.1 では、認証要求は共有の場所で行われました。
- 既知の問題がありますPAN-190454ターゲット修正バージョンはPAN-OS10.1.9、11.0.1、10.2.4
Resolution
へのアップグレードPAN-OS10.1.9、11.0.1、または 10.2.4対処するPAN-190454
回避策
移動SAMLからの認証プロファイル共有対応する vsys の場所