Échec de validation lors de l’ajout d’une nouvelle configuration en raison d’une référence invalide

Échec de validation lors de l’ajout d’une nouvelle configuration en raison d’une référence invalide

22686
Created On 10/27/20 20:40 PM - Last Modified 01/13/23 02:25 AM


Symptom


Lors de la création d’un nouvel objet et la perpétration de modifications partielles, l’administrateur obtenir l’erreur suivante

Details:Partial changes to validate: changes to configuration by administrators: admin
Changes to shared configuration
Validation Error:
 shared -> pre-rulebase -> security -> rules -> Sec-Policy -> destination 'host_1.1.1.1' is not an allowed keyword
 shared -> pre-rulebase -> security -> rules -> Sec-Policy -> destination host_1.1.1.1 is an invalid ipv4/v6 address
 shared -> pre-rulebase -> security -> rules -> Sec-Policy -> destination 'host_1.1.1.1' is not a valid reference
 shared -> pre-rulebase -> security -> rules -> Sec-Policy -> destination is invalid
 shared -> pre-rulebase -> security -> rules is invalid
 shared -> pre-rulebase -> security is invalid
 shared -> pre-rulebase is invalid


Environment


  • Panorama 
  • PAN-OS - 9.0.x

Cause


Le problème se produit lorsqu’un administrateur A crée une nouvelle adresse et l’ajoute dans une sécurité qui a été créée par un autre policy administrateur. Une fois admin- A tente de commettre les modifications partielles de l’erreur ci-dessus est vu.
On s’attend à ce que ce comportement. Nous devons engager le config appartenant à un autre administrateur comme le même commit partiel s’ils ont une dépendance. Dans ce cas, le propriétaire de ces adresses / groupes d’adresses est utilisateur: admin- A , et non touché par admin.

Cela peut également être confirmé si nous utilisons la commande CLI ci-dessous

admin-a> afficher la liste config changements admin partiel admin-a
xpath: /config/shared/address/entry[@name='host_1.1.1.1']
propriétaire: admin-a <-- Admin-a owns the address object created.
action: CREATE
autres admins:admin-a
dirty id:8
prev dirty id:0

admin-b@Lab35-103- > M-500 liste config modifie admin partiel

xpath: /config/shared/pre-rulebase/security/rules/entry[@name='Sec- Policy ']
owner: admin < -- Default "admin" owns the security policy
action: EDIT
other admins:admin
dirty id:8
prev dirty id:0

Ci-dessous la commande peut montrer le résumé des modifications et le propriétaire.

admin-a@Lab35-103- > M-500 voir les changements de liste de config

xpath: /config/shared/pre-rulebase/security/rules/entry[@name='Sec- Policy ']
owner: admin
action: EDIT
other admins:admin
dirty id:8
prev dirty id:0

xpath: /config/shared/address/entry[@name='host_1.1.1.1']
owner: admin-a
action: CREATE
other admins:admin-a
dirty id:8
prev dirty id:0

 

Resolution


Effectuez un commit complet plutôt qu’un commit partiel.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBLuCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language