So verwenden Sie strict-username-check, um identische Benutzernamen abzugleichen
26726
Created On 04/27/22 12:42 PM - Last Modified 03/02/23 05:27 AM
Objective
Wenn Sie einen Remoteauthentifizierungsserver wie einen SAML Identitätsanbieter (IdP) verwenden, müssen wir manchmal sicherstellen, dass der Benutzername, den der Authentifizierungsserver an den oder sendet, mit dem Benutzernamen in den firewall Einstellungen des lokalen Administratorkontos auf dem Firewall oder Panorama Panoramaidentisch ist.
Environment
- PaloAlto Firewall
- Panorama
- Administratoranmeldung für Remoteauthentifizierungsserver ist konfiguriert
Procedure
- Ab PAN-OS 9.1 ist der Befehl strict-username-check standardmäßig aktiviert
> set auth strict-username-check yes
Wenn die Strick-Prüfung aktiviert Firewall ist oder Panorama versucht, einen identischen Benutzernamen zu finden. Wenn beispielsweise der Benutzername, den der Authentifizierungsserver an den oder Panorama sendet, "remoteadmin@mydomain.local" ist, dann firewall/panorama versucht, den firewall genauen Benutzernamen mit dem Domänennamen "@mydomain.local" zu finden.
- In einigen Fällen hat die lokale Verwaltungsdatenbank oder der Remoteserver möglicherweise nur einen Benutzernamen ohne den Domänennamen, in solchen Fällen schlägt die Suche mit dem folgenden Fehler fehl
debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1381): Could not get user role for user remoteadmin@mydomain.local
NOTE: Um nur den Benutzernamen zu suchen und den Domänennamen zu ignorieren, führen Sie den folgenden Befehl aus, um "strick-check" zu deaktivieren
> set auth strict-username-check no