Global Protect Mensaje de advertencia de caducidad de contraseña que aparece en el equipo del cliente antes de lo esperado

18216

Created On 02/25/20 00:32 AM - Last Modified 03/26/21 18:07 PM

Symptom

GP cliente que se le pide con el mensaje de advertencia de caducidad de contraseña antes de lo esperado
LDAP se está utilizando para la autenticación a través del servidor de Active Directory.
AD el servidor tiene directivas de contraseña configuradas tanto en el objeto de grupo de dominio predeterminado Policy como en la contraseña detallada con valores diferentes para Policy "Edad máxima de contraseña".
authd.log revela que el atributo maxPwdAge del AD servidor proviene del dominio Predeterminado en lugar de la contraseña GPO detallada Policy

Se solicita al usuario la advertencia de caducidad de contraseña demasiado antes porque el valor de la edad máxima de contraseña se calcula como se indica a continuación aunque el usuario forme parte de una contraseña Policy detallada.
- PaloAlto Networks Firewall consulta el servidor para lo siguiente con el fin de calcular la fecha de AD caducidad que realmente obtiene la edad máxima de contraseña del valor predeterminado del dominio GPO .
  Get-ADDefaultDomainPasswordPolicy
- Consultar el AD servidor para lo siguiente puede resultar en obtener la edad máxima de contraseña de un grano fino al Policy que pertenece el usuario en cuestión. Pero, esto aún no se ha firewall implementado.
  Get-ADUserResultantPasswordPolicy

Nota: Como solución alternativa, el campo "Advertencia de caducidad de contraseña" bajo el perfil de autenticación respectivo se puede fijar a cero (0) para que la advertencia de expiración de contraseña no se pida desde el lado de la protección global. Esto puede ser útil cuando hay otros métodos para alertar a los usuarios a medida que se acercan a AD sus fechas de caducidad.