GlobalProtect Mensaje de caducidad de contraseña que no se muestra en el dispositivo cliente

GlobalProtect Mensaje de caducidad de contraseña que no se muestra en el dispositivo cliente

18176
Created On 07/13/20 21:52 PM - Last Modified 04/19/21 16:52 PM


Symptom


  • Usuarios que no reciben el GP mensaje de caducidad de contraseña en los dispositivos cliente
  • Ejemplo del mensaje de expiración de contraseña esperado a continuación:
PW_Expiry_Warning

Environment


  • PAN Firewall (cualquiera)
  • PAN-OS 8.1.13
  • GP El cliente intenta conectarse a GP gateway
  • Servidor de catálogo global AD en el perfil del servidor para LDAP autenticarse con Global Protect

NOTE:
Configure el perfil del servidor con un puerto de servidor de catálogo global LDAP AD 3268 (o 3269 SSL para).
Consulte el siguiente enlace para obtener instrucciones: Cómo configurar el perfil del LDAP servidor

Cause


Al configurar la autenticación de cliente en el perfil de autenticación durante la configuración de Global Protect, los siguientes atributos (de forma predeterminada) no se marcan para la replicación en el catálogo global:

  • maxPwdAge
  • pwdLastSet


Al comprobar el archivo authd.log, podemos ver la prueba de este comportamiento a continuación en la línea resaltada:

 

> less mp-log authd.log

debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1203): User "test4" is ACCEPTED(msgid = 12, LDAPp=0x10c5400)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:86): userAccountControl = 512 (not never expire)
ldap attr value for 'maxPwdAge' or 'pwdLastSet' not found
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1235): Got user expire-in-days: -1 
(-1 means no expiration), passwd_exp in auth profile: 200


 

Resolution


En el inicio de sesión de un administrador en el complemento Esquema de Active MMC Directory, compruebe los atributos maxPwdAge y pwdLastSet para la replicación en el catálogo global.

Consulte a continuación los pasos:
  1. Registre el esquema.DLL Complemento en Active Directory.
Solicitud de Cmd de administración
 
  1. Una vez registrado correctamente, abra una nueva MMC consola.
MMC-Comando
 
  1. Vaya a Archivo >>Add/Quitar complemento y agregue el esquema de Active Directory a los complementos seleccionados
MMC-Consola
AD-Esquema
 
  1. Una vez agregado, profundice en las clases >> atributos y seleccione maxPwdAge.
  2. Marque la casilla "Replicareste atributo en el catálogo global" y haga clic en OK .
Max_Pwd_Age
 
  1. Repita los pasos 4 y 5 para el atributo pwdLastSet.  
    Pwd_Last_Set
 

  1. Ahora, cuando se establece correctamente, el GP cliente debe ver la fecha de caducidad de la contraseña después de iniciar sesión en la puerta de enlace correctamente.


 

Additional Information


Nota:
A GP El cliente con la advertencia de expiración de contraseña correcta debe tener registros de autenticación.log que tengan el siguiente aspecto:
 
Authd.log details:
....
pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1203): User "test4" is ACCEPTED(msgid = 12, LDAPp=0x10c5400)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:86): userAccountControl =512 (not never expire)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:134): pwdlastset: 13236976975 seconds since January 1, 1601 (UTC)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:153): AD pwd expires in days 10 (max 255 warning limit)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1235): Got user expire-in-days: 
10 (-1 means no expiration), passwd_exp in auth profile: 200

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UpiCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language