全球保护密码过期警告消息比预期更早出现在客户端的机器上
22775
Created On 02/25/20 00:32 AM - Last Modified 03/26/21 18:07 PM
Symptom
- GP 客户端被提示与密码过期警告消息比预期的要快
- LDAP 正在通过活动目录服务器用于身份验证。
- AD 服务器具有在默认域组对象下配置的密码策略 Policy ,以及 Policy 具有不同值的"最大密码年龄"的细粒度密码。
- authd.log显示服务器的最大PwdAge属性 AD 来自默认域, GPO 而不是精细颗粒密码 Policy
Environment
- PAN-OS 7.1及以上
Cause
- 用户被提示与密码过期警告太早,因为最大密码年龄的价值计算如下,即使用户是细粒度密码的一部分 Policy 。
- PaloAlto 网络 Firewall 查询 AD 以下服务器,以便计算实际从域的默认值获得最大密码年龄的到期日期 GPO 。
获得广告失职多曼密码政策 - 查询 AD 以下服务器可能导致从 Policy 有关用户所属的细粒度获取最大密码年龄。 但是,这 firewall 还没有实施。
获取广告人苏丹密码政策
- PaloAlto 网络 Firewall 查询 AD 以下服务器,以便计算实际从域的默认值获得最大密码年龄的到期日期 GPO 。
Resolution
- 这是根据设计的预期行为。
Additional Information
- 注意:作为一种解决方法,可将相关身份验证配置文件下的"密码过期警告"字段设置为零 (0),以便不会从全球保护端提示密码过期警告。 当用户接近到期日期时,还有其他方法提醒用户,这非常有用 AD 。