Les utilisateurs de TACACS ne peuvent pas afficher la liste des administrateurs locaux

Les utilisateurs de TACACS ne peuvent pas afficher la liste des administrateurs locaux

4225
Created On 01/16/24 19:16 PM - Last Modified 02/02/24 05:44 AM


Symptom


  • Le rôle d’administrateur client configuré pour les utilisateurs TACACS ne peut pas afficher les administrateurs locaux.
  • L’attribut VSA « PaloAlto-Panorama-Admin-Role=Custom-Admin-Role » est configuré pour les utilisateurs de TACACS (documentation de référence).
  • Cela peut être confirmé dans authd.logs (moins mp-log authd.log)
pan_authd_tacplus_authenticate(pan_authd_shared_tacplus.c:312): VSA from Tacacs+ server: attr[0] - PaloAlto-Panorama-Admin-Role=Custom-Admin-Role
Interface graphique : Panorama > Rôles d’administrateur > (Ajouter)

image.png

 

Environment


  • N’importe quel panorama
  • PAN-OS 9.1 et versions ultérieures
  • LES TACACS

Cause


  • Une fois qu’un administrateur est associé à un profil de rôle d’administrateur, il s’agit d’un administrateur basé sur les rôles et non d’un superutilisateur.
  • Pour des raisons de sécurité, seuls les superutilisateurs et securityadmin peuvent afficher la liste des administrateurs sur l’interface utilisateur.

Resolution


Pour afficher la liste des administrateurs locaux via les utilisateurs TACACS, configurez l’attribut VSA sur « superutilisateur » sur le serveur TACACS.  
PaloAlto-Panorama-Admin-Role=superuser


Additional Information


Accès à la gestion via TACACS
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhVQCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language