Comment faire pour déverrouiller les utilisateurs sur la liste de verrouillage pour échec tentatives d'authentification maximale

Comment faire pour déverrouiller les utilisateurs sur la liste de verrouillage pour échec tentatives d'authentification maximale

144786
Created On 09/26/18 21:06 PM - Last Modified 06/09/23 06:35 AM


Resolution


Demande client

Lorsque les tentatives d'authentification dépassent le nombre de tentatives d'échec autorisées, l'utilisateur sera dans un état verrouillé et le message d'erreur ci-dessous s'affichera dans les journaux autorisés:

 

"pan_authd_generate_alarm (pan_authd. c:808): génération d'alarme pour le journal des échecs AUTH: admin JAI omis d'authentifier 2 fois-le seuil de tentatives d'authentification non réussie atteint. Le compte de JAI d'admin est désactivé en raison des tentatives d'authentification excessives échouées».

 

Cause

Si l'utilisateur tente de s'authentifier pour la première fois, et si les tentatives d'échec sont configurées sur 2 et que le temps de verrouillage est configuré à 10 minutes, il vérifie le premier profil. Si la tentative échoue, il sera ensuite vérifier "profil 2", et si cela échoue trop, alors l'utilisateur sera poussé dans un état verrouillé pour un bref moment, qui est spécifié dans le temps de verrouillage.

 

f tentatives échouées est configuré à 3, il va vérifier le profil "profil" pour la première tentative, puis le profil "profil 2" pour la deuxième tentative, puis enfin à nouveau profil "profil" pour la troisième tentative. Si un utilisateur possède 2 profils d'authentification et si les tentatives échouées sont configurées en tant que 1, le deuxième profil «Profil 2» ne sera même pas évalué et l'utilisateur sera immédiatement déplacé vers l'état verrouillé.

 

Allez à la séquence d'authentification Device >, comme indiqué ci-dessous:

Capture.PNG

 

Note: si l'heure de verrouillage est configurée comme 0 minutes, alors l'utilisateur ne sera pas déverrouillé après un laps de temps spécifique, mais devra être déverrouillé manuellement par un administrateur via l'onglet Device > administrateurs pour les administrateurs et le périphérique > Profil d'authentification pour d'autres utilisateurs.

 

Lorsque les utilisateurs sont verrouillés, les journaux ci-dessous s'affichent lors de l'exécution de la commande CLI suivante:

> queue suivre Oui MP-log authd. log

 

Après deux tentatives, l'utilisateur est désactivé et mis dans un état verrouillé:

Capture1.png

 

Le syslog génère les journaux suivants, ce qui suggère que le compte est verrouillé et placé dans la liste des utilisateurs verrouillés:

Capture2.png

 

Résolution

  1. Accédez au profil d'authentification Device >.
  2. Dans la dernière colonne, «utilisateurs verrouillés», cliquez sur l'icône déverrouiller:

Unlock. png


L'utilisateur sera déverrouillé comme indiqué ci-dessous:

Capture3. png

L'utilisateur peut également être déverrouillé sous Device > administrateur:

Capture4.jpg

 

propriétaire : dantony
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm61CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language