Changements de mot de passe d’annuaire actif à l’aide GlobalProtect

172736

Created On 09/25/18 17:36 PM - Last Modified 01/18/23 20:47 PM

Symptom

AD politiques et mots de passe

Il arrive souvent que les stratégies actives d’annuaire AD () obligent les utilisateurs à changer de mot de passe, par exemple, la première fois qu’un utilisateur se connecte avec un mot de passe temporaire, lorsque le mot de passe d’un utilisateur expire ou lorsqu’un utilisateur oublie un mot de passe. Malheureusement, étant donné que les entreprises n’exposent généralement pas leur infrastructure active d’annuaire sur Internet, les utilisateurs distants peuvent ne pas avoir l’accès dont ils ont besoin pour mettre à AD jour leurs mots de passe dans ces situations.

Environment

PAN-OS
GlobalProtect (GP)

Cause

Ce qui permet de changer de mot de passe pour les utilisateurs distants

Les versions GlobalProtect3.1 et antérieures ne fournissent pas de AD support natif pour modifier ou mettre à jour le mot de passe d’un utilisateur.
Ce document explique comment vous pouvez utiliser d’autres méthodes et permettre aux utilisateurs distants de modifier leurs mots de passe Active Directory au-dessus GlobalProtect d’un tunnel.

Resolution

Solutions de contournement à l’aide d’un GlobalProtect VPN tunnel

GlobalProtect3.1 et les versions antérieures ne fournissent pas de AD support natif pour modifier ou mettre à jour les mot de passe. Toutefois, vous pouvez configurer d’autres méthodes d’authentification en plus d’Active Directory qui permettront aux utilisateurs distants d’établir GlobalProtect VPN un tunnel. Une fois que le tunnel a été établi et que les utilisateurs peuvent atteindre l’annuaire actif de l’entreprise, ils peuvent modifier leur mot de passe même lorsqu’ils travaillent à distance.

GlobalProtect prend en charge deux options de configuration qui permettent aux utilisateurs distants avec l’accès nécessaire pour changer
leur mot de AD passe:

A méthode de connexion pré-logon qui crée un tunnel au niveau de la machine à VPN l’aide d’un certificat de machine.
GlobalProtect Remplacement d’authentification qui permet l’authentification basée sur les cookies.

En utilisant l’une de ces options, vous pouvez empêcher les utilisateurs distants d’être verrouillés lorsqu’ils oublient leur mot de passe ou lorsque leur mot de passe expire.

A l’utilisateur distant peut essayer de modifier ou de mettre à jour son mot de passe à 2 moments différents :

Au moment de la connexion au système Windows
Une fois connecté au système Windows

Ce qui permet aux utilisateurs distants de modifier mot de passe lors de la connexion Windows

Pré-logon est l’une des méthodes de connexion pris en charge par GlobalProtect . Le pré-logon permet GlobalProtect VPN d’établir un tunnel à l’aide d’un certificat de machine sur le point de terminaison de l’utilisateur (ordinateur, ordinateur portable ou ordinateur portable). Cette méthode de connexion établit un tunnel pré-logon immédiatement après le démarrement du système et avant que l’utilisateur ne se connecte. Si AD l’entreprise est accessible au-dessus de ce tunnel pré-logon, les utilisateurs distants peuvent se connecter au domaine avec un mot de passe temporaire ou utiliser l’option Mot de passe de modification qui est nativement disponible sur l’écran de connexion Windows pour mettre à jour leurs mots de passe.

Cette option est particulièrement utile si un utilisateur distant oublie les informations d’identification actives de l’annuaire et n’est pas en mesure de se connecter même au système Windows. Sans le tunnel pré-logon, même si l’administrateur réinitialise le mot de passe de l’utilisateur, l’utilisateur distant ne peut pas utiliser le nouveau mot de passe pour se connecter au domaine et ensuite mettre à jour le mot de passe.

Pour plus d’informations sur la méthode de connexion pré-logon, consultez Remote Access avec VPN Pre-Logon.

En raison des modifications apportées par Microsoft à la connexion Windows et au framework du fournisseur d’informations d’identification, l’expérience utilisateur final pour modifier leur mot de passe à distance au moment de la connexion Windows est différente AD dans Windows 7 et Windows 8 / Windows 10.

Modification du AD mot de passe sur Windows 7 :

Sur Windows 7, le GlobalProtect fournisseur d’informations d’identification enveloppe le fournisseur d’informations d’identification Windows natif et fournit àl’utilisateur final une expérience de connexion Windows native. Ainsi, l’utilisateur peut se connecter comme ils le font normalement et n’importe quel motpolicy de passe qui est appliqué par est appliqué et l’utilisateur AD est informé des exigences de mot de passe comme d’habitude.

(voir dans Mes vidéos)

Modification AD du mot de passe sur Windows 8 et 10 :

Toutefois, sur Windows 8 et Windows 10, la possibilité de changer de mot de passe n’est pas disponible si les utilisateursGlobalProtect choisissent l’option de connexion. Les utilisateurs doivent définir Windows comme l’option de connexion par défaut avant d’utiliser un mot de passe temporaire et ensuite changer leur mot de passe tout en se AD AD connectant à distance.

(voir dans Mes vidéos)

GlobalProtect Un seul signe sur ( SSO ) échouerait après que l’utilisateur définit Windows comme l’option de connecte par défaut. L’utilisateur doit se déconnecter de Windows, puis GlobalProtect choisir comme option de connexion tout en se connectant à Windows pour se remettre au GlobalProtect SSO travail.

Pour plus de SSO détails sur GlobalProtect pour se référer à unique connexion ( ) SSO pourGlobalProtect

Ce qui permet aux utilisateurs distants de modifier le mot de passe une fois connecté à Windows

Si l’utilisateur distant se souvient AD des informations d’identification mais que le mot de passe a expiré, l’utilisateur serait toujours en mesure de se connecter au système Windows à l’aide d’informations d’identification mises en cache. Toutefois, l’authentification du portail ou de la passerelle échouerait parce AD que le mot de passe a expiré. Dans ce scénario, vous pouvez utiliser la GlobalProtect fonction de substitution d’authentification (introduite PAN OS en 7.1 GlobalProtect et 3.0). Cette fonctionnalité permet aux GlobalProtect portails et GlobalProtect passerelles de passer outre aux exigences du profil d’authentification et d’authentifier les utilisateurs avec uncookie à la place. Pour utiliser cette option, vous devez procédez comme suit :

Configurez le GlobalProtect portail pour générer un cookie et acceptez le cookie pour l’authentification.
Configurez au moins une passerelle GlobalProtect pour accepter le cookie pour l’authentification.
Définissez la durée de vie du cookie aussi longtemps que vous souhaitez que l’utilisateur puisse se connecter à cette passerelle même après l’expiration du mot de passe de l’utilisateur.

Avec cette configuration, même si le mot de passe a expiré, un utilisateur distant sera toujours en mesure de se connecter à cette passerelle en utilisant le cookie tant qu’il est toujours valide. Une fois le tunnel établi, les utilisateurs distants peuvent atteindre l’annuaire actif de l’entreprise et modifier leurs mots de passe en appuyant sur Ctrl + Alt + Supprimer et en utilisant l’option mot de passe de modification.

Pour plus d’informations sur l’authentification basée sur les cookies, consultez Enhanced Two-FactorAuthentication.

Solutions de contournement pour permettre aux utilisateurs distants de changer de AD mot de passe à l’aide GlobalProtect

Bien GlobalProtect qu’il ne prend pas en charge les modifications de mot de passe active directory, vous pouvez configurer
GlobalProtect pour permettre aux utilisateurs distants de modifier leurs mots de passe Active Directory.

La méthode de connexion pré-logon est particulièrement utile si l’utilisateur se connecte au domaine pour la première fois ou a un mot de passe temporaire pour le domaine.
Le remplacement d’authentification est utile si le mot de passe de l’utilisateur a expiré et que l’utilisateur est toujours en mesure de se connecter au point de terminaison à l’aide d’informations d’identification mises en cache.