TACACS ユーザがローカル管理者リストを表示できない

TACACS ユーザがローカル管理者リストを表示できない

4777
Created On 01/16/24 19:16 PM - Last Modified 02/02/24 05:44 AM


Symptom


  • TACACS ユーザに設定されたカスタマー管理者ロールは、ローカル管理者を表示できません。
  • VSA 属性「PaloAlto-Panorama-Admin-Role=Custom-Admin-Role」は、TACACS ユーザ用に設定されています(参照ドキュメント)。
  • これは、authd.logs(mp-log authd.logが少ない)で確認できます。
pan_authd_tacplus_authenticate(pan_authd_shared_tacplus.c:312): VSA from Tacacs+ server: attr[0] - PaloAlto-Panorama-Admin-Role=Custom-Admin-Role
GUI: Panorama > Admin roles > (Add) (パノラマ 管理者ロール

画像.png

 

Environment


  • 任意のパノラマ
  • PAN-OS 9.1 以降
  • TACACSの

Cause


  • 管理者が管理者ロールプロファイルに関連付けられると、その管理者はロールベースの管理者であり、スーパーユーザーではありません。
  • セキュリティ上の理由から、スーパーユーザーと securityadmin のみがユーザーインターフェースで管理者リストを表示できます。

Resolution


TACACS ユーザを介してローカル管理者リストを表示するには、TACACS サーバで VSA 属性を「superuser」 に設定します。  
PaloAlto-Panorama-Admin-Role=superuser


Additional Information


TACACS による管理アクセス
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhVQCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language