グローバル保護パスワードの有効期限警告メッセージがクライアントのマシンに予想よりも早く表示されます

グローバル保護パスワードの有効期限警告メッセージがクライアントのマシンに予想よりも早く表示されます

18218

Created On 02/25/20 00:32 AM - Last Modified 03/26/21 18:07 PM

Symptom

GP クライアントは、予期した時間よりも早くパスワードの有効期限警告メッセージを表示されます
LDAP は、アクティブディレクトリサーバーを使用した認証に使用されています。
AD サーバーには、デフォルトのドメイングループオブジェクトの下に構成されたパスワードポリシー Policy と Policy 、[パスワードの有効期間] の値が異なる細かいパスワードの両方が設定されています。
authd.log は、サーバーからの maxPwdAge 属性 AD が GPO 、細かいパスワードではなくデフォルトドメインから取得されていることを明らかにします Policy

Environment

PAN-OS 7.1以上

Cause

ユーザーは、ユーザーが細かいパスワードの一部であるにもかかわらず、パスワードの有効期間の最大値の値が以下のように計算されるため、パスワードの有効期限警告が表示されるにすぎている Policy 。
- PaloAlto Networks Firewall は、 AD ドメインのデフォルトからパスワードの最大有効期間を実際に取得する有効期限を計算するために、以下のサーバに問い合 GPO わせます。
  ポリシーを取得します。
- 以下のサーバーに対してクエリ AD を実行すると、問題のユーザーが属する細かい粒度からパスワードの最大有効期間が取得 Policy される可能性があります。しかし、これは firewall まだ実装されていません。
  を取得します。

Resolution

これは、設計に従って想定される動作です。

Additional Information

注: 回避策として、それぞれの認証プロファイルの「パスワード有効期限警告」フィールドをゼロ(0)に設定して、グローバル保護側からパスワード有効期限警告を求めないようにすることができます。これは、ユーザーが AD 有効期限に近づくと警告する他の方法がある場合に役立ちます。

ユーザー追加イメージ