GlobalProtect Message d’expiration de mot de passe ne s’affichant pas sur l’appareil client

GlobalProtect Message d’expiration de mot de passe ne s’affichant pas sur l’appareil client

18124
Created On 07/13/20 21:52 PM - Last Modified 04/19/21 16:52 PM


Symptom


  • Utilisateurs ne recevant pas le GP message d’expiration de mot de passe sur les appareils clients
  • Exemple de message d’expiration de mot de passe attendu ci-dessous :
PW_Expiry_Warning

Environment


  • PAN Firewall (n’importe quel)
  • PAN-OS 8.1.13
  • GP Le client tente de se connecter à GP Gateway
  • Global Catalog AD Server dans le profil du serveur à LDAP authentifier avec Global Protect

NOTE:
Configurez LDAP le profil Serveur avec un port serveur Global Catalog AD 3268 (ou 3269 pour SSL ).
Voir le lien suivant pour les instructions: Comment configurer le LDAP profil du serveur

Cause


Lors de la configuration de l’authentification client sur le profil d’authentification pendant la configuration Global Protect, les attributs suivants (par défaut) ne sont pas marqués pour la réplication au catalogue global :

  • le maxPwdAge
  • pwdLastSet (pwdLastSet)


En vérifiant le fichier authd.log, nous pouvons voir la preuve de ce comportement ci-dessous sur la ligne surlignée:

 

> less mp-log authd.log

debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1203): User "test4" is ACCEPTED(msgid = 12, LDAPp=0x10c5400)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:86): userAccountControl = 512 (not never expire)
ldap attr value for 'maxPwdAge' or 'pwdLastSet' not found
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1235): Got user expire-in-days: -1 
(-1 means no expiration), passwd_exp in auth profile: 200


 

Resolution


À partir de la connexion d’un administrateur sur le snap-in active Directory Schema, vérifiez les MMC attributs maxPwdAge et pwdLastSet pour la réplication au catalogue global.

Voir ci-dessous pour les étapes:
  1. Enregistrez le Schéma.DLL Snap-in sur l’annuaire actif.
Admin Cmd Prompt
 
  1. Une fois enregistré avec succès, ouvrez une MMC nouvelle console.
MMC-ordre
 
  1. Passez à File >>Add/Remove Snap-in et ajoutez le schéma d’annuaire actif aux snap-ins sélectionnés
MMC-consoler
AD-Schéma
 
  1. Une fois ajouté, forez dans les classes >> attributs et sélectionnez maxPwdAge.
  2. Cochez la case pour« Reproduire cet attribut au catalogue global »et cliquez OK .
Max_Pwd_Age
 
  1. Répétez l’étape 4 et l’étape 5 pour l’attribut pwdLastSet.  
    Pwd_Last_Set
 

  1. Maintenant, lorsqu’il est défini de manière appropriée, GP le client doit voir la date d’expiration du mot de passe après s’être connecté à la passerelle avec succès.


 

Additional Information


Note:
A GP Client avec l’avertissement d’expiration de mot de passe réussi devrait avoir authd.log journaux qui ressemblent ci-dessous:
 
Authd.log details:
....
pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1203): User "test4" is ACCEPTED(msgid = 12, LDAPp=0x10c5400)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:86): userAccountControl =512 (not never expire)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:134): pwdlastset: 13236976975 seconds since January 1, 1601 (UTC)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:153): AD pwd expires in days 10 (max 255 warning limit)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1235): Got user expire-in-days: 
10 (-1 means no expiration), passwd_exp in auth profile: 200

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UpiCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language