SAML (vsys) 用户身份验证失败,原因为:升级后“用户不在许可名单中”firewall到 10.1.x

SAML (vsys) 用户身份验证失败,原因为:升级后“用户不在许可名单中”firewall到 10.1.x

14043
Created On 08/17/22 02:01 AM - Last Modified 03/24/23 07:30 AM


Symptom


• 升级到之后PAN-OS10.1.x,(vsys) 用户无法连接GP VPN由于身份验证失败。
•SAML SSO(vsys) 用户身份验证失败,原因:系统日志/authd.log 中的“用户不在允许列表中”

Environment


  • GlobalProtect和SAML身份验证配置文件
  • NGFW Firewall 与(多vsys)
  • SAML 共享位置中的身份验证配置文件
  • 升级自PAN-OS10.0或以下至PAN-OS10.1.4

Cause


  • 在PAN-OS版本 10.1 及更高版本,身份验证请求与特定的 vsys(例如,vsys2)一起发送,并且身份验证配置文件在共享中定义。
  • 因此,允许列表找不到身份验证配置文件,升级后 vsys 用户的允许列表检查失败firewall到 10.1.x
  • 之前PAN-OS在 10.1 版中,身份验证请求是在共享位置发出的。
  • 有一个已知问题PAN-190454目标修复版本是PAN-OS10.1.9、11.0.1、10.2.4

 

Resolution



升级到PAN-OS10.1.9、11.0.1 或 10.2.4讲话PAN-190454

解决方法
移动SAML授权资料来自共享定位到对应的vsys
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrDNCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language