GlobalProtect Kennwortablaufmeldung wird nicht auf dem Clientgerät angezeigt

GlobalProtect Kennwortablaufmeldung wird nicht auf dem Clientgerät angezeigt

18126
Created On 07/13/20 21:52 PM - Last Modified 04/19/21 16:51 PM


Symptom


  • Benutzer, die die GP Kennwortablaufnachricht auf den Clientgeräten nicht empfangen
  • Beispiel für die erwartete Password Expiry-Meldung unten:
PW_Expiry_Warning

Environment


  • PAN Firewall (beeinen Fall)
  • PAN-OS 8.1.13
  • GP Client versucht, eine Verbindung mit Gateway herzustellen GP
  • Globaler AD Katalogserver im LDAP Serverprofil zur Authentifizierung bei Global Protect

NOTE:
Konfigurieren Sie das LDAP Serverprofil mit einem Global AD Catalog-Serverport 3268 (oder 3269 für SSL ).
Anweisungen finden Sie unter folgendem Link: So konfigurieren Sie das LDAP Serverprofil

Cause


Beim Konfigurieren der Clientauthentifizierung für das Authentifizierungsprofil während der Global Protect-Konfiguration werden die folgenden Attribute (standardmäßig) nicht für die Replikation in den globalen Katalog markiert:

  • MaxPwdAge
  • pwdLastSet


Wenn Sie die datei authd.log überprüfen, können wir unten in der hervorgehobenen Zeile den Beweis für dieses Verhalten sehen:

 

> less mp-log authd.log

debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1203): User "test4" is ACCEPTED(msgid = 12, LDAPp=0x10c5400)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:86): userAccountControl = 512 (not never expire)
ldap attr value for 'maxPwdAge' or 'pwdLastSet' not found
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1235): Got user expire-in-days: -1 
(-1 means no expiration), passwd_exp in auth profile: 200


 

Resolution


Überprüfen Sie bei der Anmeldung eines Administrators im MMC Active Directory-Schema-Snap-In die Attribute maxPwdAge und pwdLastSet für die Replikation in den globalen Katalog.

Siehe unten für Schritte:
  1. Registrieren Sie das Schema.DLL Snap-In im Active Directory.
Admin Cmd-Eingabeaufforderung
 
  1. Öffnen Sie nach erfolgreicher Registrierung eine neue MMC Konsole.
MMC-befehlen
 
  1. Wechseln Sie zu Datei >> Snap-In hinzufügen/entfernen, und fügen Sie das Active Directory-Schema zu den ausgewählten Snap-Ins hinzu.
MMC-trösten
AD-Schema
 
  1. Führen Sie nach dem Zusatz einen Drilldown in Klassen >> Attribute nieren sie aus, und wählen Sie maxPwdAge aus.
  2. Aktivieren Sie das Kontrollkästchen "DiesesAttribut in den globalen Katalog replizieren" und klicken Sie auf OK .
Max_Pwd_Age
 
  1. Wiederholen Sie Schritt 4 und Schritt 5 für das pwdLastSet-Attribut.  
    Pwd_Last_Set
 

  1. Wenn sie nun entsprechend festgelegt sind, sollte der GP Client das Ablaufdatum des Kennworts sehen, nachdem er sich erfolgreich beim Gateway angemeldet hat.


 

Additional Information


Hinweis:
A GP Client mit der erfolgreichen Kennwortablaufwarnung sollte authd.log Protokolle haben, die wie folgt aussehen:
 
Authd.log details:
....
pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1203): User "test4" is ACCEPTED(msgid = 12, LDAPp=0x10c5400)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:86): userAccountControl =512 (not never expire)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:134): pwdlastset: 13236976975 seconds since January 1, 1601 (UTC)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:153): AD pwd expires in days 10 (max 255 warning limit)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1235): Got user expire-in-days: 
10 (-1 means no expiration), passwd_exp in auth profile: 200

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UpiCAE&lang=de%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language