またはユーザーがファイアウォールにログインできない GUI CLI

80787

Created On 07/22/21 11:24 AM - Last Modified 09/06/21 21:34 PM

Symptom

またはユーザーがファイアウォールにログインできず GUI CLI 、事前に警告が表示されません。
認証されたユーザーのパスワードの有効期限が切れた

Authd logs of firewall show "warning period=0" and "password_expiry_locked = TRUE" for this user

2021-06-07 08:15:31.025 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1266): Password profile values for user: user1:profile=global, expiry period=90, warning period=0, expired admin logon count=0, grace period=0
2021-06-07 08:15:31.025 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1274): user "user1": last password change tim = Mon Mar 8 13:26:16 2021, so elapsed_days = 90, while expiry period = 90
2021-06-07 08:15:31.033 +0300 debug: _lock_unlock_user(pan_auth_state_engine.c:335): lock_user = 1; is_exp_admin = 0 --> password_expiry_locked = TRUE
2021-06-07 08:15:31.033 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1367): Password expired for failed authenticated user "user1

Environment

パロアルトネットワークの全ファイアウォール

Cause

Password expired for failed authenticated user; warning period set to zero explains why a warning wasn't received.

Resolution

Logging in to the firewall once the password is expired:

を再起動 firewall してから、デバイスにログインしてみてください
上記の手順が失敗した場合は、次のように、メンテナンスモードでブートし、以前に保存した名前付き config をロードします。
メンテナンスモードになったら、[実行中の構成の選択] オプションに進みます。
.管理者パスワードがわかっている前のバージョンの実行設定を選択し、この設定でデバイスを再起動します。
.にログインできるかどうか確認し firewall 、その場合はコマンドラインからピアに設定を同期>高可用性同期-リモート実行構成を要求します
上記のエラーが発生した場合は、工場出荷時のリセットを実行する必要があります。

Additional Information

テクニカルサポートファイルを収集したい場合は、工場出荷時のリセット

を実行する前に収集してください。[Palo Alto Networks Firewall の構成をメンテナンスモードで取得する方法
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluPCAS

警告なしにパスワードの有効期限が切れないようにするには、次の設定を行います。

たとえば、値が 3 に設定され、アカウントの期限が切れている場合、アカウントがロックアウトされるまでに 3 回ログインできます (範囲は 0 ~ 3)。

有効期限の期限切れ後 (日数) - 管理者は、アカウントの有効期限が切れた後に指定した日数でログインできるようにします (範囲は 0 ~ 30)。

ユーザー追加イメージ