如何使用 strict-username-check 来匹配相同的用户名

如何使用 strict-username-check 来匹配相同的用户名

26671
Created On 04/27/22 12:42 PM - Last Modified 03/02/23 05:27 AM


Objective


有时在使用远程身份验证服务器时,例如SAML身份提供者 (IdP) 我们必须确保身份验证服务器发送到的用户名firewall或者Panorama与本地管理员帐户设置中的用户名相同Firewall或者Panorama.

Environment


  • 帕洛阿尔托 Firewall
  • Panorama
  • 配置远程认证服务器管理员登录

Procedure


  1. 从PAN-OS9.1 strict-username-check命令默认开启
> set auth strict-username-check yes
当启用 strick-check 时Firewall或者Panorama试图找到一个相同的用户名。 例如,如果身份验证服务器发送给firewall或者Panorama那么是“remoteadmin@mydomain.local”firewall /panorama试图找到域名为“@mydomain.local”的确切用户名
  1. 在某些情况下,本地管理数据库或远程服务器可能只有用户名而没有域名,在这种情况下查找将失败并出现以下错误
debug: pan_authd_handle_group_req(pan_auth_state_engine.c:1381): Could not get user role for user remoteadmin@mydomain.local
NOTE:要匹配仅搜索用户名并忽略域名,然后运行以下命令以禁用“strick-check”
> set auth strict-username-check no

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNj9CAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language