Impossible de se connecter aux pare-feu via GUI ou CLI avec des utilisateurs
80806
Created On 07/22/21 11:24 AM - Last Modified 09/06/21 21:34 PM
Symptom
- Impossible de se connecter aux pare-feu via ou avec des GUI CLI utilisateurs, aucun avertissement préalable n’a été reçu
- Mot de passe expiré pour l’utilisateur authentifié ayant échoué
Authd logs of firewall show "warning period=0" and "password_expiry_locked = TRUE" for this user
2021-06-07 08:15:31.025 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1266): Password profile values for user: user1:profile=global, expiry period=90, warning period=0, expired admin logon count=0, grace period=0
2021-06-07 08:15:31.025 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1274): user "user1": last password change tim = Mon Mar 8 13:26:16 2021, so elapsed_days = 90, while expiry period = 90
2021-06-07 08:15:31.033 +0300 debug: _lock_unlock_user(pan_auth_state_engine.c:335): lock_user = 1; is_exp_admin = 0 --> password_expiry_locked = TRUE
2021-06-07 08:15:31.033 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1367): Password expired for failed authenticated user "user1Environment
Tous les pare-feu Palo Alto Network
Cause
Password expired for failed authenticated user; warning period set to zero explains why a warning wasn't received.Resolution
Logging in to the firewall once the password is expired:
- Redémarrez firewall le, puis essayez de vous connecter à l’appareil
- Si la procédure ci-dessus échoue, démarrez en mode maintenance et chargez une configuration nommée précédemment enregistrée comme suit.
- Une fois en mode maintenance, passez à l’option « Sélectionner la configuration en cours d’exécution ».
- . Choisissez une version précédente du running-config pour lequel le mot de passe administrateur est connu et redémarrez le périphérique avec cette config.
- . Vérifiez si vous êtes en mesure de vous connecter au firewall , si c’est le cas, puis synchronisez la configuration avec l’homologue à partir de la ligne de commande > demander la synchronisation haute disponibilité à distance running-config
- Si ce qui précède échoue, une réinitialisation d’usine devra être effectuée.
Additional Information
Si vous souhaitez collecter un fichier de support technique, veuillez le faire avant d’effectuer une réinitialisation
d’usine Comment récupérer la configuration des réseaux Palo Alto Firewall en mode maintenance
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluPCAS
Pour éviter que le mot de passe n’expire sans avertissement, les éléments suivants peuvent être configurés : Le nombre de
connexions d’administrateur post-expiration peut être configuré, ce qui permet à l’administrateur de se connecter un nombre spécifié de fois après l’expiration de son compte. Par exemple, si la valeur est définie sur 3 et que leur compte a expiré, ils peuvent se connecter 3 fois de plus avant que leur compte ne soit verrouillé (plage de 0 à 3).
Période de grâce postérieure à l’expiration (jours) - Autorisez l’administrateur à se connecter le nombre de jours spécifié après l’expiration de son compte (plage comprise entre 0 et 30).
Pour plus d’informations, reportez-vous au lien ci-dessous :
Profils de mot de passe > d’appareil https://docs.paloaltonetworks.com/
pan-os /10-0/ pan-os -web-interface-help/device/device-password-profiles.html
Informations synchronisées dans une HA paire
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXGCA0
Comment réinitialiser le mot de passe administrateur
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClkxCAC