Global Protect Password Expiry Message d’avertissement s’affichant sur la machine du client plus tôt que prévu

18214

Created On 02/25/20 00:32 AM - Last Modified 03/26/21 18:07 PM

Symptom

GP client invité avec le message d’avertissement d’expiration de mot de passe plus tôt que prévu
LDAP est utilisé pour l’authentification par le serveur d’annuaire actif.
AD serveur a des stratégies de mot de passe configurées à la fois sous l’objet de groupe de domaine par défaut ainsi que le mot de passe à grain fin Policy avec des valeurs différentes pour Policy « Âge maximum de mot de passe ».
authd.log révèle que l’attribut maxPwdAge du serveur vient du domaine AD Par défaut au lieu du mot de passe à grain GPO fin Policy

L’utilisateur est invité avec l’avertissement d’expiration de mot de passe trop tôt parce que la valeur de l’âge maximum de mot de passe est calculée comme ci-dessous, même si l’utilisateur fait partie d’un mot de passe à grain fin Policy .
- PaloAlto Networks Firewall interroge le serveur pour ce qui est AD ci-dessous afin de calculer la date d’expiration qui obtient réellement l’âge de mot de passe maximum de la valeur par défaut du domaine GPO .
  Get-ADDefaultDomainPasswordPolicy
- Interroger le serveur pour AD ce qui est ci-dessous peut entraîner l’âge maximum de mot de passe à partir d’un grain fin Policy auquel l’utilisateur en question appartient. Mais, ce n’est pas encore mis en firewall œuvre.
  Get-ADUserResultantPasswordPolicy

Remarque : En tant que solution de contournement, le champ « Avertissement d’expiration de mot de passe » sous le profil d’authentification respectif peut être défini à zéro (0) de sorte que l’avertissement d’expiration du mot de passe ne soit pas déclenché du côté Global Protect. Cela peut être utile lorsqu’il existe d’autres méthodes pour alerter les AD utilisateurs à l’approche de leur date d’expiration.