Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
を使用した Active Directory パスワードの変更 GlobalProtect - Knowledge Base - Palo Alto Networks

を使用した Active Directory パスワードの変更 GlobalProtect

189953
Created On 09/25/18 17:36 PM - Last Modified 01/18/23 20:52 PM


Symptom


AD ポリシーとパスワード

多くの場合、Active Directory (AD ) ポリシーにより、ユーザーはパスワードを変更する必要があります。たとえば、ユーザーが一時パスワードで初めてログインしたとき、ユーザーのパスワードの有効期限が切れたとき、またはユーザーが忘れたときパスワード。 残念ながら、企業は通常、Active Directory インフラストラクチャを公開していないため、リモート ユーザーは、インターネットを更新するために必要なアクセス権を持っていない可能性があります。ADこれらの状況でのパスワード。


Environment


  • PAN-OS
  • GlobalProtect (GP )


Cause


リモート ユーザーのパスワード変更を有効にする

  • GlobalProtect3.1 と以前のバージョンでは、ユーザーのADパスワード。
  • このドキュメントでは、別の方法を使用してリモート ユーザーが変更できるようにする方法について説明します。 Active Directory のパスワードをGlobalProtectトンネル。


Resolution


を使用した回避策GlobalProtectVPNトンネル

GlobalProtect3.1 以前のバージョンでは、ユーザーのADパスワード。 ただし、有効にする Active Directory 以外の代替認証方法を構成できます。を確立するためのリモート ユーザーGlobalProtectVPNトンネル。 トンネルが確立されると、ユーザーはエンタープライズ Active Directory に到達すると、リモートで作業しているときでもパスワードを変更できます。

GlobalProtectに必要なアクセス権を持つリモート ユーザーを有効にする 2 つの構成オプションをサポートします。
彼らを変えるADパスワード:
  1. A マシンレベルを作成するログオン前接続メソッドVPNマシン証明書を使用したトンネル。
  2. GlobalProtect Cookie ベースの認証を有効にする認証オーバーライド。

これらのオプションのいずれかを使用すると、リモート ユーザーが自分の名前を忘れたときにロックアウトされるのを防ぐことができます。パスワードまたはパスワードの有効期限が切れたとき。

A リモート ユーザーは、次の 2 つの時点でパスワードを変更または更新しようとする場合があります。

  1. Windowsシステムへのログイン時
  2. Windows システムにログインした後

 

リモート ユーザーが Windows ログイン時にパスワードを変更できるようにする

ログオン前によってサポートされている接続方法の 1 つです。GlobalProtect . ログオン前の有効化GlobalProtectにを確立するVPNユーザーのエンドポイント (コンピューター、ラップトップ、またはノートブック) でマシン証明書を使用してトンネルを作成します。 この接続方法は、システムの起動直後、ユーザーがログインする前にログオン前トンネルを確立します。ログインします。 企業ならADこのログオン前トンネル経由でアクセスできるため、リモート ユーザーは次の方法でドメインにログインできます。一時的なパスワードを使用するか、Windows ログイン画面でネイティブに利用できる [パスワードの変更] オプションを使用しますパスワードを更新します。

 
このオプションは、リモート ユーザーが Active Directory の資格情報を忘れて、ログインできない場合に特に便利です。 Windows システムにもログインできます。 管理者がユーザーのパスワードがないため、リモート ユーザーは新しいパスワードを使用してドメインにログインできず、その後、パスワード。
ログオン前接続方法の詳細については、次を参照してください。リモートアクセスVPNログオン前.
 
Microsoft が Windows ログインと資格情報プロバイダー フレームワークに加えた変更により、エンド ユーザー エクスペリエンスを変更するADWindows ログイン時のパスワードがリモートで異なるWindows 7 および Windows 8 / Windows 10。
 

変化ADWindows 7 のパスワード:

Windows 7 では、GlobalProtect資格情報プロバイダーは、ネイティブの Windows 資格情報プロバイダーをラップし、ネイティブの Windows ログイン エクスペリエンスを持つエンド ユーザー。 したがって、ユーザーは通常どおりにログインでき、任意のパスワードを使用できますpolicyそれはによって強制されますAD適用され、通常どおりパスワード要件がユーザーに通知されます。
 

変化ADWindows 8 および 10 のパスワード:

ただし、Windows 8 および Windows 10 では、ユーザーが選択した場合、パスワードを変更する機能は利用できません。GlobalProtectサインインオプションとして。 ユーザーは、Windows を使用する前に、既定のサインイン オプションとして Windows を設定する必要があります。一時的ADパスワードを変更し、その後変更するADリモートログイン時のパスワード。
 
GlobalProtect シングル・サインオン (SSO ) は、ユーザーが既定のサインイン オプションとして Windows を設定すると失敗します。 ユーザーWindows からログアウトする必要があります。GlobalProtect Windows にサインインする際のサインイン オプションとしてGlobalProtectSSO再び働くために。
 
詳細については、SSOにとってGlobalProtect参照するシングル・サインオン (SSO ) にとってGlobalProtect
 

Windows へのログイン後にリモート ユーザーがパスワードを変更できるようにする

リモート ユーザーがADクレデンシャルがありますが、パスワードの有効期限が切れていても、ユーザーは引き続きキャッシュされた資格情報を使用して Windows システムにログインします。 ただし、ポータルまたはゲートウェイへの認証は失敗する理由ADパスワードの有効期限が切れています。 このシナリオでは、GlobalProtect認証オーバーライド機能 (で導入PAN OS7.1 とGlobalProtect3.0)。 この機能により、GlobalProtectポータルとGlobalProtect認証プロファイル要件をオーバーライドし、ユーザーを代わりにクッキー。 このオプションを使用するには、次の手順を実行する必要があります。
  1. を構成しますGlobalProtectポータルで Cookie を生成し、認証のために Cookie を受け入れます。
  2. 少なくとも 1 つを構成するGlobalProtectゲートウェイが認証用の Cookie を受け入れるようにします。
  3. ユーザーがこのゲートウェイにログインできる限り、Cookie の有効期間を設定します。ユーザーのパスワードの有効期限が切れた後でも。

この構成では、パスワードの有効期限が切れていても、リモート ユーザーは引き続き接続できます。 Cookie がまだ有効である限り、このゲートウェイは Cookie を使用します。 トンネルが確立されると、リモート ユーザーは到達できますエンタープライズ Active Directory にアクセスし、Ctrl + Alt + Delete を押してパスワードを変更します。パスワードオプションを変更します。

Cookie ベースの認証の詳細については、次を参照してください。強化された 2 要素認証.

 

リモート ユーザーが変更できるようにするための回避策AD使用するパスワード GlobalProtect

それでもGlobalProtectActive Directory のパスワード変更をネイティブにサポートしていないため、構成できます。
GlobalProtectリモート ユーザーが Active Directory パスワードを変更できるようにします。
  • ログオン前の接続方法は、ユーザーがドメインにログインしている場合に特に便利です。初めてまたはドメインの一時的なパスワードを持っています。
  • 認証オーバーライドは、ユーザーのパスワードの有効期限が切れていて、ユーザーがまだキャッシュされた認証情報を使用してエンドポイントにログインします。

 

 



Additional Information




Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGYCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language