Cambios en la contraseña de Active Directory GlobalProtect

172730

Created On 09/25/18 17:36 PM - Last Modified 01/18/23 20:46 PM

Symptom

AD políticas y contraseñas

A menudo hay situaciones en las que las directivas de Active Directory ( ) requieren que los usuarios AD cambien las contraseñas, por ejemplo, la primera vez que un usuario inicia sesión con una contraseña temporal, cuándo expira la contraseña de un usuario o cuándo un usuario olvida una contraseña. Desafortunadamente, dado que las empresas normalmente no exponen su infraestructura de Active Directory a través de Internet, es posible que los usuarios remotos no tengan el acceso que necesitan para actualizar sus AD contraseñas en estas situaciones.

Environment

PAN-OS
GlobalProtect (GP)

Cause

Lo que permite el cambio de contraseña para usuarios remotos

GlobalProtect3.1 y versiones anteriores no proporcionan asistencia de forma nativa para cambiar o actualizar la contraseña AD de un usuario.
Este documento explica cómo usted puede utilizar los métodos alternativos y habilitar a los usuarios remotos para cambiar sus contraseñas de Active Directory sobre un GlobalProtect túnel.

Resolution

Soluciones alternativas utilizando GlobalProtect VPN el túnel

GlobalProtect3.1 y versiones anteriores no proporcionan de forma nativa AD soporte para cambiar o actualizar la Contraseña. Sin embargo, puede configurar métodos de autenticación alternativos además de Active Directory que permitan a los usuarios remotos establecer un GlobalProtect VPN túnel. Una vez establecido el túnel y los usuarios pueden llegar a la empresa Active Directory, pueden cambiar su contraseña incluso cuando trabajan de forma remota.

GlobalProtectadmite dos opciones de configuración que permiten a los usuarios remotos con el acceso necesario cambiar
su AD contraseña:

A método de conexión previo al inicio de sesión que crea un túnel a nivel de máquina VPN mediante un certificado de máquina.
GlobalProtect Invalidación de autenticación que habilita la autenticación basada en cookies.

Con una de estas opciones, puede evitar que los usuarios remotos se bloqueen cuando olviden su contraseña o cuando caduque su contraseña.

A el usuario remoto puede intentar cambiar o actualizar su contraseña en 2 momentos diferentes:

En el momento de iniciar sesión en el sistema Windows
Después de iniciar sesión el sistema Windows

Permitiendo a los usuarios remotos cambiar contraseña en Inicio de sesión de Windows

El inicio de sesión previo es uno de los métodos connect compatibles con GlobalProtect . El inicio de sesión previo GlobalProtect permite establecer un túnel mediante un certificado de máquina en el punto de conexión del usuario VPN (equipo, portátil o portátil). Este método de conexión establece un túnel de inicio de sesión previo inmediatamente después de que el sistema arranque y antes de que el usuario inicie sesión. Si se puede acceder a la empresa AD a través de este túnel previo al inicio de sesión, los usuarios remotos pueden iniciar sesión en el dominio con una contraseña temporal o usar la opción Cambiar contraseña que está disponible de forma nativa en la pantalla de inicio de sesión de Windows para actualizar sus contraseñas.

Esta opción es especialmente útil si un usuario remoto olvida las credenciales de Active Directory y no puede iniciar sesión incluso en el sistema Windows. Sin el túnel previo al inicio de sesión, incluso si el administrador restablece la contraseña del usuario, el usuario remoto no puede utilizar la nueva contraseña para iniciar sesión en el dominio y actualizar posteriormente la contraseña.

Para obtener más información sobre el método de conexión previo al inicio de sesión, consulte Acceso remoto con inicio de sesión VPN previo.

Debido a los cambios que Microsoft ha realizado en el inicio de sesión de Windows y el marco de trabajo del proveedor de credenciales, la experiencia del usuario final para cambiar su contraseña de forma remota en el momento del inicio de sesión AD de Windows es diferente en Windows 7 y Windows 8 / Windows 10.

Cambio AD de contraseña en Windows 7:

En Windows 7, GlobalProtect el proveedor de credenciales ajusta el proveedor de credenciales nativo de Windows y proporcionaal usuario final experiencia de inicio de sesión nativo de Windows. Por lo tanto, el usuario puede iniciar sesión como lo hace normalmente y cualquier contraseñapolicy que se aplica por se aplica y se AD notifica al usuario sobre los requisitos de contraseña como de costumbre.

(ver en Mis vídeos)

Cambio AD de contraseña en Windows 8 y 10:

Sin embargo, en Windows 8 y Windows 10, la capacidad de cambiar la contraseña no está disponible si los usuarios seleccionanGlobalProtect como opción de inicio de sesión. Los usuarios tienen que establecer Windows como la opción de inicio de sesión predeterminada antes de usar una contraseña temporal y posteriormente cambiar su contraseña al iniciar sesión de forma AD AD remota.

(ver en Mis vídeos)

GlobalProtect Se produciría un error en el inicio de sesión único SSO ( ) después de que el usuario establezca Windows como la opción de inicio de sesión predeterminada. El usuario debe cerrar sesión desde Windows y, a continuación, elegir GlobalProtect como opción de inicio de sesión al iniciar sesión en Windows para volver a GlobalProtect SSO trabajar.

Para obtener más información sobre SSO para GlobalProtect consultar el inicio de sesión único ( ) SSO paraGlobalProtect

Permitiendo a los usuarios remotos cambiar la contraseña después de iniciar sesión Windows

Si el usuario remoto recuerda las AD credenciales pero la contraseña ha caducado, el usuario todavía podría iniciar sesión en el sistema Windows mediante credenciales almacenadas en caché. Sin embargo, se produciría un error en la autenticación en el portal o la puerta de enlace porque la contraseña ha AD caducado. En este escenario podría utilizar la GlobalProtect característica de invalidación de autenticación (introducida en PAN OS 7.1 y GlobalProtect 3.0). Esta característica permite GlobalProtect a los portalesy puertas de enlace GlobalProtect invalidar los requisitos del perfil de autenticación y autenticar a los usuarios con unacookie en su lugar. Para utilizar esta opción, debe hacer lo siguiente:

Configure el GlobalProtect portal para generar una cookie y acepte la cookie para la autenticación.
Configure al menos una GlobalProtect puerta de enlace para aceptar la cookie para la autenticación.
Establezca la duración de la cookie en el tiempo que desee que el usuario pueda iniciar sesión en esta puerta de enlace incluso después de que la contraseña del usuario haya expirado.

Con esta configuración, incluso si la contraseña ha expirado, un usuario remoto todavía podrá conectarse a esta puerta de enlace utilizando la cookie siempre y cuando siga siendo válida. Una vez establecido el túnel, los usuarios remotos pueden llegar a la empresa Active Directory y cambiar sus contraseñas presionando Ctrl + Alt + Delete y usando la opción de cambiar contraseña.

Para obtener más información sobre la autenticación basada en cookies, consulte Autenticación mejorada de dos factores.

Soluciones alternativas para permitir a los usuarios remotos cambiar AD las contraseñas GlobalProtect

Aunque GlobalProtect no admite de forma nativa los cambios de contraseña de Active Directory, puede configurarlo
GlobalProtect para permitir que los usuarios remotos cambien sus contraseñas de Active Directory.

El método de conexión previa al inicio de sesión es especialmente útil si el usuario inicia sesión en el dominio por primera vez o tiene una contraseña temporal para el dominio.
La invalidación de autenticación es útil si la contraseña del usuario ha caducado y el usuario todavía puede iniciar sesión en el punto de conexión con credenciales almacenadas en caché.