全球保护密码过期警告消息比预期更早出现在客户端的机器上

全球保护密码过期警告消息比预期更早出现在客户端的机器上

18206
Created On 02/25/20 00:32 AM - Last Modified 03/26/21 18:07 PM


Symptom


  • GP 客户端被提示与密码过期警告消息比预期的要快
  • LDAP 正在通过活动目录服务器用于身份验证。
  • AD 服务器具有在默认域组对象下配置的密码策略 Policy ,以及 Policy 具有不同值的"最大密码年龄"的细粒度密码。
  • authd.log显示服务器的最大PwdAge属性 AD 来自默认域, GPO 而不是精细颗粒密码 Policy

Environment


  • PAN-OS 7.1及以上

Cause


  • 用户被提示与密码过期警告太早,因为最大密码年龄的价值计算如下,即使用户是细粒度密码的一部分 Policy 。
    • PaloAlto 网络 Firewall 查询 AD 以下服务器,以便计算实际从域的默认值获得最大密码年龄的到期日期 GPO 。
      获得广告失职多曼密码政策
    • 查询 AD 以下服务器可能导致从 Policy 有关用户所属的细粒度获取最大密码年龄。 但是,这 firewall 还没有实施。
      获取广告人苏丹密码政策

Resolution


  • 这是根据设计的预期行为。

Additional Information


  • 注意:作为一种解决方法,可将相关身份验证配置文件下的"密码过期警告"字段设置为零 (0),以便不会从全球保护端提示密码过期警告。 当用户接近到期日期时,还有其他方法提醒用户,这非常有用 AD 。
用户添加的图像
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POneCAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language