Nach der Anmeldung wurde in der CLI „Ungültiger Benutzer. Bitte Anmeldung sich mit einem gültigen Konto an“ angezeigt.
7419
Created On 07/11/24 23:30 PM - Last Modified 01/07/25 09:36 AM
Symptom
- Das Gerät verwendet RADIUS oder TACACS-Authentifizierung für den Verwaltungszugriff auf die CLI.
- Benutzerdefinierte Administratorrollen werden auf dem RADIUS/TACACS-Server für den zugehörigen Benutzer konfiguriert.
- Beim Zugriff auf die CLI über SSH bestätigen Authd-Protokolle ( weniger als mp-log authd.log ), dass der Benutzer erfolgreich authentifiziert wurde.
debug: pan_auth_service_recv_response(pan_auth_service_handle.c:1684): Got response for user: "<username>"
debug: pan_auth_response_process(pan_auth_state_engine.c:4557): auth status: auth success
- Nach erfolgreicher Anmeldung wird im CLI Fenster die Fehlermeldung „Ungültiger Benutzer. Bitte Anmeldung sich mit einem gültigen Konto an“ angezeigt und die Sitzung wird geschlossen.
- Eine erfolgreiche Anmeldung lässt sich auch durch Überprüfen der Authentifizierungsprotokolle auf dem RADIUS oder TACACS-Server bestätigen.
Environment
- Palo Alto Firewalls oder Panorama
- Unterstützte PAN-OS
- Radius- oder TACACS-Authentifizierung
- Benutzerdefinierte verwaltungs-
Cause
Auf dem PAN-OS- Gerät konfigurierte benutzerdefinierte verwaltungs- stimmen nicht mit der von RADIUS und/oder TACACS plus gesendeten Admininstratorfunktion überein.
Resolution
- Identifizieren Sie die Admininstratorfunktion, die vom RADIUS /TACACS-Server gepusht wird, anhand der Authd-Debug-Protokolle ( weniger als mp-log authd.log ), ähnlich den folgenden Protokollen.
debug: pan_authd_radius_parse_resp_payload(pan_authd_radius.c:301): admin role = <admin role name>
- Navigieren Sie zu Gerät (oder Panorama) > Administratorrollen > Klicken Sie auf die konfigurierte Rolle > Registerkarte „Befehlszeile“ .
- Überprüfen Sie, ob der Wert auf „keine“ eingestellt ist. Wenn ja, stellen Sie die Rolle so ein, dass sie mit der Rolle „RADIUS/TACACS“ übereinstimmt, und ausführen aus. Dies sollte das Problem beheben.
- Wenn die in den Authd-Protokollen angezeigte Admininstratorfunktion abweicht, ändern Sie die auf dem RADIUS /TACACS-Server konfigurierte Rolle so, dass sie mit dem auf dem PAN-OS- Gerät konfigurierten Wert übereinstimmt.