strict-username-check を使用して同一のユーザー名を照合する方法

strict-username-check を使用して同一のユーザー名を照合する方法

26724
Created On 04/27/22 12:42 PM - Last Modified 03/02/23 05:27 AM


Objective


などのリモート認証サーバーを使用する場合があります。SAML ID プロバイダー (IdP) 認証サーバーがサーバーに送信するユーザー名を確認する必要があります。firewallまたPanoramaのローカル管理者アカウント設定のユーザー名と同じです。FirewallまたPanorama.

Environment


  • パロアルト Firewall
  • Panorama
  • リモート認証サーバーの管理者ログインが構成されている

Procedure


  1. からPAN-OS9.1 strict-username-check コマンドはデフォルトで有効になっています
> set auth strict-username-check yes
ストリックチェックが有効になっている場合FirewallまたPanorama同一のユーザー名を見つけようとします。 たとえば、認証サーバーがfirewallまたPanorama「remoteadmin@mydomain.local」の場合firewall/panoramaドメイン名「@mydomain.local」で正確なユーザー名を見つけようとします
  1. 場合によっては、ローカル管理データベースまたはリモート サーバーに、ドメイン名のないユーザー名のみが含まれる場合があります。そのような場合、ルックアップは以下のエラーで失敗します。
debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1381): Could not get user role for user remoteadmin@mydomain.local
NOTE: ユーザー名のみを検索し、ドメイン名を無視するには、次のコマンドを実行して「srick-check」を無効にします。
> set auth strict-username-check no

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNj9CAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language