Cómo usar strict-username-check para que coincida con un nombre de usuario idéntico
26728
Created On 04/27/22 12:42 PM - Last Modified 03/02/23 05:27 AM
Objective
A veces, cuando se utiliza un servidor de autenticación remoto, como un SAML proveedor de identidades (IdP), debemos asegurarnos de que el nombre de usuario que el servidor de autenticación envía al o es idéntico al firewall nombre de usuario en la configuración de la cuenta de administrador local en el Firewall o Panorama Panorama.
Environment
- PaloAlto Firewall
- Panorama
- El inicio de sesión del administrador del servidor de autenticación remota está configurado
Procedure
- A partir de la versión 9.1, el comando strict-username-check está habilitado de PAN-OS forma predeterminada
> set auth strict-username-check yes
Cuando strick-check está habilitado, entonces Firewall o Panorama intenta encontrar un nombre de usuario idéntico. Por ejemplo, si el nombre de usuario que el servidor de autenticación envía al firewall o Panorama es "remoteadmin@mydomain.local", entonces firewall/panorama intenta encontrar el nombre de usuario exacto con el nombre de dominio "@mydomain.local"
- En algunos casos, es posible que la base de datos de administración local o el servidor remoto solo tengan un nombre de usuario sin el nombre de dominio, en tales casos, la búsqueda fallará con el siguiente error
debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1381): Could not get user role for user remoteadmin@mydomain.local
NOTE: Para hacer coincidir el nombre de usuario de búsqueda e ignorar el nombre de dominio, ejecute el siguiente comando para deshabilitar "strick-check"
> set auth strict-username-check no