Global Protectクライアント上でのパスワード失効の警告

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Password Expiry Warning on the GlobalProtect Client
https://live.paloaltonetworks.com/t5/Configuration-Articles/Password-Expiry-Warning-on-the-GlobalPro...

 

概要

LDAPを認証方法として使用している場合、Global Protectユーザーはパスワードの期限が切れた際の失効の警告メッセージを受けます。

 

詳細

これは、以下の通りGlobal Peotectに用いるファイアウォール上の認証プロファイルでLDAPを指定することで実現できます。

 

ファイアウォール上のGlobal Protect用 認証プロファイルの設定

  • サーバー プロファイル: 設定したLDAP プロファイルを指定している。
  • ログイン属性: ユーザーまたはグループを一意に示すLDAP ディレクトリ属性を入力します。
  • パスワード失効の警告: パスワード失効の前に、パスワードはあとX日で期限切れとなることを、ユーザーに警告する通知メッセージを表示し始める日数を(1から255日の範囲で入力できます)入力します。

 

デフォルトでは通知のメッセージはパスワード失効の7日前に表示されます。パスワードが失効するとユーザーはVPNでのアクセスができなくなります。

下記スクリーンショットのとおり、ADサーバー上では、デフォルトのドメイン ポリシーの maximum password age (パスワードの有効期限)を設定して下さい。

 

以下はGlobal Protectクライアントでの警告メッセージです。

 password expiry.png

 

注: ベストプラクティスとして、接続手段としてpre-logonを設定することを考慮してください。これによりユーザーはパスワードの失効後であっても、パスワード変更のためのドメインへの接続を許可されます。

 

著者: hnatarajan