Anmeldung bei Firewalls über GUI oder mit Benutzern nicht möglich CLI
80795
Created On 07/22/21 11:24 AM - Last Modified 09/06/21 21:34 PM
Symptom
- Anmeldung bei Firewalls über GUI oder CLI mit Benutzern nicht möglich, keine vorherige Warnung erhalten
- Kennwort für fehlgeschlagenen authentifizierten Benutzer abgelaufen
Authd logs of firewall show "warning period=0" and "password_expiry_locked = TRUE" for this user
2021-06-07 08:15:31.025 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1266): Password profile values for user: user1:profile=global, expiry period=90, warning period=0, expired admin logon count=0, grace period=0
2021-06-07 08:15:31.025 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1274): user "user1": last password change tim = Mon Mar 8 13:26:16 2021, so elapsed_days = 90, while expiry period = 90
2021-06-07 08:15:31.033 +0300 debug: _lock_unlock_user(pan_auth_state_engine.c:335): lock_user = 1; is_exp_admin = 0 --> password_expiry_locked = TRUE
2021-06-07 08:15:31.033 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1367): Password expired for failed authenticated user "user1Environment
Alle Firewalls des Palo Alto-Netzwerks
Cause
Password expired for failed authenticated user; warning period set to zero explains why a warning wasn't received.Resolution
Logging in to the firewall once the password is expired:
- Starten Sie das firewall Gerät neu, und versuchen Sie dann, sich anzumelden
- Wenn die obige Prozedur fehlgeschlagen ist, starten Sie in den Wartungsmodus und laden Sie eine zuvor gespeicherte benannte Konfiguration wie folgt.
- Sobald Sie sich im Wartungsmodus befinden, fahren Sie mit der Option "Laufende Konfiguration auswählen" fort.
- . Wählen Sie eine frühere Version der running-config, für die das Administratorkennwort bekannt ist, und starten Sie das Gerät mit dieser Konfiguration neu.
- . Überprüfen Sie, ob Sie sich bei der anmelden firewall können, wenn ja, synchronisieren Sie dann die Konfiguration über die Befehlszeile mit dem Peer > fordern Sie eine Hochverfügbarkeits-Sync-to-Remote-Running-Config an
- Wenn dies fehlschlägt, muss ein Werksreset durchgeführt werden.
Additional Information
Wenn Sie eine technische Support-Datei sammeln möchten, tun Sie dies bitte, bevor Sie einen Werksreset durchführen
So rufen Sie die Palo Alto Firewall Networks-Konfiguration im Wartungsmodus
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluPCAS
um zu vermeiden, dass das Kennwort ohne Warnung abläuft, kann Folgendes konfiguriert werden:
Nach Ablauf kann die Administratoranmeldeanzahl konfiguriert werden, wodurch sich der Administrator nach Ablauf seines Kontos eine bestimmte Anzahl von Malen anmelden kann. Wenn der Wert beispielsweise auf 3 festgelegt ist und ihr Konto abgelaufen ist, können sie sich noch 3 Mal anmelden, bevor ihr Konto gesperrt wird (Bereich ist 0 bis 3).
Kulanzzeit nach Ablauf (Tage) – Ermöglichen Sie dem Administrator, sich mit der angegebenen Anzahl von Tagen nach Ablauf seines Kontos anzumelden (Bereich ist 0 bis 30).
Weitere Informationen finden Sie unter folgendem Link:
Geräte- > Kennwortprofile
https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -web-interface-help/device/device-password-profiles.html
Informationen in einem Paar synchronisiert HA
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXGCA0
So setzen Sie das Administratorkennwort
zurück https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClkxCAC