" usuario no válido. inicio de sesión con una cuenta válida" observado en la CLI después de inicio de sesión

" usuario no válido. inicio de sesión con una cuenta válida" observado en la CLI después de inicio de sesión

7487
Created On 07/11/24 23:30 PM - Last Modified 01/07/25 09:38 AM


Symptom


  • El dispositivo utiliza autenticación RADIUS o TACACS para el acceso de administración a la CLI.
  • Los roles de administrador personalizados se configuran en el servidor RADIUS/TACACS para el usuario asociado.
  • Al acceder a la CLI mediante SSH, los registros de autenticación ( menos mp-log authd.log ) confirman que el usuario se ha autenticado correctamente.
debug: pan_auth_service_recv_response(pan_auth_service_handle.c:1684): Got response for user: "<username>" 
debug: pan_auth_response_process(pan_auth_state_engine.c:4557): auth status: auth success
  • Después de inicio de sesión correctamente, aparece un error " usuario no válido. inicio de sesión con una cuenta válida" en la ventana de la CLI y, a continuación, se cierra la sesión .
  • Verificar los registros de autenticación en el servidor RADIUS o TACACS también confirma un inicio de sesión exitoso.

Environment


  • Cortafuegos de Palo Alto o Panorama
  • Sistema operativo PAN compatible
  • Autenticación por radio o TACACS
  • Roles de administrador personalizados

Cause


Los roles de administrador personalizados configurados en el dispositivo PAN-OS no coinciden con el función de administrador enviado por RADIUS y/o TACACS plus.

Resolution


  1. Identifique el función de administrador que se envía desde el servidor RADIUS /TACACS desde los registros de depuración de authd ( menos mp-log authd.log ) similares a los registros que aparecen a continuación.
debug: pan_authd_radius_parse_resp_payload(pan_authd_radius.c:301): admin role = <admin role name>
  1. Vaya a Dispositivo (o Panorama) > Roles de administrador > Haga clic en el función configurado > pestaña “Línea de comandos” .
  2. Comprueba si el valor está establecido en "ninguno". Si es así, configura el función para que coincida con el de "RADIUS/TACACS" y compilar. Esto debería resolver el problema.
  3. Si el función de administrador que se ve en los registros de autenticación es diferente del configurado en la línea de comando, cambie el función configurado en el servidor RADIUS /TACACS para que coincida con el valor configurado en el dispositivo PAN-OS.
Admin Role Profile

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000scURCAY&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language