无法通过 GUI CLI 或与任何用户登录防火墙

80774

Created On 07/22/21 11:24 AM - Last Modified 09/06/21 21:34 PM

Symptom

无法通过或 GUI CLI 与任何用户登录防火墙，未收到事先警告
已验证失败的用户密码过期

Authd logs of firewall show "warning period=0" and "password_expiry_locked = TRUE" for this user

2021-06-07 08:15:31.025 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1266): Password profile values for user: user1:profile=global, expiry period=90, warning period=0, expired admin logon count=0, grace period=0
2021-06-07 08:15:31.025 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1274): user "user1": last password change tim = Mon Mar 8 13:26:16 2021, so elapsed_days = 90, while expiry period = 90
2021-06-07 08:15:31.033 +0300 debug: _lock_unlock_user(pan_auth_state_engine.c:335): lock_user = 1; is_exp_admin = 0 --> password_expiry_locked = TRUE
2021-06-07 08:15:31.033 +0300 debug: pan_auth_check_password_expiry_and_authenticate(pan_auth_state_engine.c:1367): Password expired for failed authenticated user "user1

Environment

所有帕洛阿尔托网络防火墙

Cause

Password expired for failed authenticated user; warning period set to zero explains why a warning wasn't received.

Resolution

Logging in to the firewall once the password is expired:

重新启动 firewall ，然后尝试登录设备
如果上述程序失败，则启动到维护模式，并加载以前保存的命名配置如下。
进入维护模式后，继续使用"选择运行配置"选项。
.选择管理员密码已知的运行配置的上一个版本，然后用此配置重新启动设备。
.检查您是否能够登录到 firewall ，如果是，则从命令行将配置同步到对等值，>请求高可用性同步到远程运行配置
如果上述失败，则需要执行出厂重置。

Additional Information

如果您想要收集技术支持文件，请在执行出厂重置

之前执行如何 Firewall 在维护模式下检索 Palo Alto 网络配置
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluPCAS

为了避免密码到期而没有警告，可以配置以下配置：

可以配置过期后管理员登录计数，这允许管理员在其帐户过期后登录指定次数。例如，如果值设置为 3 并且其帐户已过期，则可以在锁定帐户之前再登录 3 次（范围为 0 到 3）。

到期后宽限期（天数）-允许管理员在帐户过期后登录指定天数（范围为 0 到 30）。

用户添加的图像