Comment utiliser strict-username-check pour correspondre à un nom d’utilisateur identique
26882
Created On 04/27/22 12:42 PM - Last Modified 03/02/23 05:27 AM
Objective
Parfois, lors de l’utilisation d’un serveur d’authentification distant tel qu’un SAML fournisseur d’identité (IdP), nous devons nous assurer que le nom d’utilisateur que le serveur d’authentification envoie au ou Panorama est identique au firewall nom d’utilisateur dans les paramètres du compte d’administrateur local sur le Firewall ou Panorama.
Environment
- PaloAlto PaloAlto Firewall
- Panorama
- La connexion administrateur du serveur d’authentification à distance est configurée
Procedure
- À partir de PAN-OS la version 9.1, la commande strict-username-check est activée par défaut
> set auth strict-username-check yes
Lorsque strick-check est activé alors Firewall ou Panorama tente de trouver un nom d’utilisateur identique. Par exemple, si le nom d’utilisateur que le serveur d’authentification envoie au firewall ou Panorama est « remoteadmin@mydomain.local » alors firewall/panorama essaie de trouver le nom d’utilisateur exact avec le nom de domaine « @mydomain.local »
- Dans certains cas, la base de données de l’administrateur local ou le serveur distant peut n’avoir qu’un nom d’utilisateur sans le nom de domaine dans de tels cas, la recherche échouera avec l’erreur ci-dessous
debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1381): Could not get user role for user remoteadmin@mydomain.local
NOTE: Pour faire correspondre le nom d’utilisateur de recherche uniquement et ignorer le nom de domaine, exécutez la commande ci-dessous pour désactiver « strick-check »
> set auth strict-username-check no