GlobalProtect 密码过期消息未显示在客户端设备上
18140
Created On 07/13/20 21:52 PM - Last Modified 04/19/21 16:52 PM
Symptom
- 未在 GP 客户端设备上接收密码过期消息的用户
- 以下预期密码过期消息示例:
Environment
- PAN Firewall (任何)
- PAN-OS 8.1.13
- GP 客户端尝试连接到 GP 网关
- AD服务器配置文件中的全球目录服务器 LDAP ,以"全球保护"进行身份验证
NOTE:
LDAP 将服务器配置为"全球目录" AD 服务器端口 3268(或 3269)。 SSL
有关说明,请参阅以下链接:如何配置 LDAP 服务器配置文件
Cause
在全球保护配置过程中,当在身份验证配置文件上配置客户身份验证时,以下属性(默认情况下)不会标记为复制到"全球目录":
- 最大 Pwdage
- 普德·拉斯特集
检查 身份验证.log 文件,我们可以在突出显示的行上看到以下此行为的证据:
> less mp-log authd.log
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1203): User "test4" is ACCEPTED(msgid = 12, LDAPp=0x10c5400)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:86): userAccountControl = 512 (not never expire)
ldap attr value for 'maxPwdAge' or 'pwdLastSet' not found
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1235): Got user expire-in-days: -1
(-1 means no expiration), passwd_exp in auth profile: 200Resolution
从管理员在活动目录 Schema MMC 登录时,请检查 最大 PwdAge 和 pwdLast 集 的属性以复制到全球目录。
请参阅下文的步骤:
- 注册该机型。DLL 在活动目录上捕捉。
- 成功注册后,打开新的 MMC 控制台。
- 转到 文件>>添加/删除快照 ,并将活动目录 Schema 添加到选定的快照中
- 添加后,深入到 >>属性的类 中,并选择最大PwdAge。
- 选中"将此属性复制到全球目录"的框,然后单击 OK 。
- 重复pwdLastSet属性的第4步和第5步。
现在,如果设置得当, GP 客户端应在成功登录网关后看到密码到期日期。
Additional Information
注:
A GP 具有成功密码过期警告的客户端应具有如下所示的.log日志:
Authd.log details:
....
pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1203): User "test4" is ACCEPTED(msgid = 12, LDAPp=0x10c5400)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:86): userAccountControl =512 (not never expire)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:134): pwdlastset: 13236976975 seconds since January 1, 1601 (UTC)
debug: _get_AD_passwd_exp_in_days(pan_authd_shared_ldap.c:153): AD pwd expires in days 10 (max 255 warning limit)
debug: pan_authd_ldap_authenticate(pan_authd_shared_ldap.c:1235): Got user expire-in-days:
10 (-1 means no expiration), passwd_exp in auth profile: 200