« utilisateur non valide. Veuillez connexion en utilisant un compte valide » observé sur la CLI après la connexion

• L'appareil utilise l'authentification RADIUS ou TACACS pour l'accès de gestion à la CLI.
• Les rôles d’administrateur personnalisés sont configurés sur le serveur RADIUS/TACACS pour l’ utilisateur associé.
• Lors de l'accès à la CLI via SSH, les journaux authd ( moins mp-log authd.log ) confirment que l' utilisateur est authentifié avec succès.

debug: pan_auth_service_recv_response(pan_auth_service_handle.c:1684): Got response for user: "<username>" 
debug: pan_auth_response_process(pan_auth_state_engine.c:4557): auth status: auth success

• Après une connexion réussie, une erreur « utilisateur non valide. Veuillez connexion en utilisant un compte valide » s'affiche dans la fenêtre CLI et la session est alors fermée.
• La vérification des journaux d'authentification sur le serveur RADIUS ou TACACS confirme également une connexion réussie.
  

• Pare-feu Palo Alto ou Panorama
• Système d'exploitation PAN pris en charge
• Authentification Radius ou TACACS
• Rôles admin personnalisés

1. Identifiez le rôle admin poussé depuis le serveur RADIUS / TACACS à partir des journaux de débogage authd ( moins mp-log authd.log ) similaires aux journaux ci-dessous.

debug: pan_authd_radius_parse_resp_payload(pan_authd_radius.c:301): admin role = <admin role name>

2. Accédez à Appareil (ou Panorama) > Rôles d'administrateur > Cliquez sur le rôle configuré > onglet « Ligne de commande » .
3. Vérifiez si la valeur est définie sur « aucun ». Si c'est le cas, définissez le rôle pour qu'il corresponde à celui de « RADIUS/TACACS » et valider. Cela devrait résoudre le problème.
4. Si le rôle admin affiché dans les journaux authd est différent de celui défini sous la ligne de commande, modifiez le rôle configuré sur le serveur RADIUS / TACACS pour qu'il corresponde à la valeur configurée sur le appareil PAN-OS.

• Documentation sur le rayon
• Documentation Tacacs