GlobalProtect クライアント デバイスにパスワードの有効期限メッセージが表示されない

• GPクライアント デバイスでパスワードの有効期限メッセージを受信しないユーザー
• 以下の予期されるパスワードの有効期限メッセージの例:

• PAN Firewall (任意)
• PAN-OS 8.1.13
• GP クライアントがゲートウェイに接続しようとしています GP
• グローバル AD LDAP 保護を使用して認証するサーバー プロファイルのグローバル カタログ サーバー

グローバル保護構成の間に認証プロファイルでクライアント認証を構成する場合、次の属性 (既定) はグローバル カタログへのレプリケーション用にマークされません。

• maxPwdAge
• を設定します。

authd.logファイルを確認すると、強調表示された行にこの動作の証拠を以下に示します。

> less mp-log authd.log

debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1203): User "test4" is ACCEPTED(msgid = 12, LDAPp=0x10c5400)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:86): userAccountControl = 512 (not never expire)
ldap attr value for 'maxPwdAge' or 'pwdLastSet' not found
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1235): Got user expire-in-days: -1 
(-1 means no expiration), passwd_exp in auth profile: 200

1. スキーマを登録します。DLL アクティブ ディレクトリ上のスナップイン。

 

2. 正常に登録されたら、新しいコンソールを開きます MMC 。

 

3. ファイル >>スナップインの追加と削除 ] に移動し、選択したスナップインに Active Directory スキーマを追加する

 

4. 追加したら、クラス>>属性にドリルダウンし、maxPwdAgeを選択します。
5. [この属性をグローバル カタログにレプリケートする ] チェックボックスをオンにし、 をクリック OK します。

6. pwdLastSet属性について、手順 4と手順 5を繰り返します。 
   

7. ここで、適切に設定すると、 GP クライアントはゲートウェイにログインした後にパスワードの有効期限を確認する必要があります。

Authd.log details:
....
pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1203): User "test4" is ACCEPTED(msgid = 12, LDAPp=0x10c5400)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:86): userAccountControl =512 (not never expire)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:134): pwdlastset: 13236976975 seconds since January 1, 1601 (UTC)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:153): AD pwd expires in days 10 (max 255 warning limit)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1235): Got user expire-in-days: 
10 (-1 means no expiration), passwd_exp in auth profile: 200