ロックリストで許容ログイン回数の失敗をしたユーザーをロック解除する方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Unlock Users on the Lock List for Failed Maximum Authentication Attempts
https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Unlock-Users-on-the-Lock-List-for-Fa...

 

事象

認証の試行が許容されたログイン回数を超えると、ユーザーはロックされた状態になり、以下のエラーメッセージがauthdログに表示されます。

 

"pan_authd_generate_alarm(pan_authd.c:808): Generating alarm for auth failure log: Admin jai failed to authenticate 2 times - the unsuccessful authentication attempts threshold reached. Admin jai's account is being disabled due to excessive failed authentication attempts".

 

原因

ユーザーが最初に認証しようとしたときに、許容ログイン回数が2に設定され、ロックアウト時間が10分に設定されている場合、最初の プロファイルがチェックされます。試行が失敗すると "Profile2" がチェックされ、それでも失敗すると、ロックアウト時間に指定された短い時間ロックされた状態にプッシュされます。

 

失敗した試行が3に設定されている場合、最初の試行でプロファイル  "Profile" を確認し、2回目の試行で "Profile2" をプロファイルし、3回目の試行で プロファイル "Profile" を再度チェックします。ユーザーに2つの認証プロファイルがあり、失敗した試行が1と設定されている場合、2番目のプロファイル "Profile2" は評価されず、ユーザーは直ちにロックされた状態に移行します。

 

デバイス> 認証シーケンス は以下になります:

Capture.PNG

 

: ロックアウト時間が0分に設定されている場合、ユーザーは特定の時間が経過してもロックが解除されないため、対象者が管理者の場合は Device > 管理者 タブ、ほかのユーザーの場合は Device > 認証プロファイル を使用して管理者が手動でロックを解除する必要があります。

 

ユーザーがロックされると、次のCLIコマンドを実行した際に以下のログが表示されます。

> tail follow yes mp-log authd.log

 

2回試行した後、ユーザーは無効になり、ロック状態になります:

Capture1.PNG

 

syslogは次のログを生成します。これは、アカウントがロックされ、ロックされたユーザーリストに置かれていることを示しています。

Capture2.PNG

 

解決策

  1. デバイス > 認証プロファイル に移動します
  2. 最後「ロックされたユーザー」列で、「ロック解除」アイコンをクリックします:

Unlock.PNG


対象ユーザーは以下のようにロックが解除されます:

Capture3.PNG

デバイス> 管理者 で対象の管理者ユーザーのロックを解除することもできます:

Capture4.JPG

 

owner: dantony