No se puede iniciar sesión en los firewalls a través de GUI o CLI con cualquier usuario
80789
Created On 07/22/21 11:24 AM - Last Modified 09/06/21 21:34 PM
Symptom
- No se puede iniciar sesión en los firewalls a través de GUI o CLI con cualquier usuario, no se ha recibido ninguna advertencia previa
- Contraseña caducada para el usuario autenticado con errores
Authd logs of firewall show "warning period=0" and "password_expiry_locked = TRUE" for this user
2021-06-07 08:15:31.025 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1266): Password profile values for user: user1:profile=global, expiry period=90, warning period=0, expired admin logon count=0, grace period=0
2021-06-07 08:15:31.025 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1274): user "user1": last password change tim = Mon Mar 8 13:26:16 2021, so elapsed_days = 90, while expiry period = 90
2021-06-07 08:15:31.033 +0300 debug: _lock_unlock_user(pan_auth_state_engine.c:335): lock_user = 1; is_exp_admin = 0 --> password_expiry_locked = TRUE
2021-06-07 08:15:31.033 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1367): Password expired for failed authenticated user "user1Environment
Todos los firewalls de Palo Alto Network
Cause
Password expired for failed authenticated user; warning period set to zero explains why a warning wasn't received.Resolution
Logging in to the firewall once the password is expired:
- Reinicie el firewall y luego intente iniciar sesión en el dispositivo
- Si se produce un error en el procedimiento anterior, inicie en modo de mantenimiento y cargue una configuración con nombre guardada previamente de la siguiente manera.
- Una vez en modo de mantenimiento, continúe con la opción 'Seleccionar configuración en ejecución'.
- . Elija una versión anterior de los ejecutar-config para los cuales se sabe la contraseña del administrador y reinicie el dispositivo con estos Config.
- . Marque si usted puede iniciar sesión en el firewall , si tan entonces sincroniza la configuración al par de la línea de comando > de la petición de alta disponibilidad sync-to-remote running-config
- Si se produce un error en lo anterior, será necesario realizar un restablecimiento de fábrica.
Additional Information
Si desea recopilar un archivo de soporte técnico, hágalo antes de realizar un restablecimiento
de fábrica Cómo recuperar la configuración de redes de Palo Alto Firewall en modo de mantenimiento
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluPCAS
Para evitar que la contraseña caduque sin previo aviso, se puede configurar lo siguiente: Se puede configurar el recuento de inicio de sesión de administrador posterior a
la expiración, que permite al administrador iniciar sesión un número especificado de veces después de que su cuenta haya expirado. Por ejemplo, si el valor se establece en 3 y su cuenta ha caducado, pueden iniciar sesión 3 veces más antes de que se bloquee su cuenta (el intervalo es de 0 a 3).
Período de gracia posterior a la expiración (días): permita al administrador iniciar sesión el número especificado de días después de que su cuenta haya expirado (el intervalo es de 0 a 30).
Para obtener más información, consulte el siguiente enlace:
Perfiles de > de contraseña de dispositivo
https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -web-interface-help/device/device-password-profiles.html
Información sincronizada en un HA par
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXGCA0
Cómo restablecer la contraseña de administrador
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClkxCAC