Global Protectクライアント上でのパスワード失効の警告

※この記事は以下の記事の日本語訳です。

Password Expiry Warning on the GlobalProtect Client
https://live.paloaltonetworks.com/t5/Configuration-Articles/Password-Expiry-Warning-on-the-GlobalPro...

概要

LDAPを認証方法として使用している場合、Global Protectユーザーはパスワードの期限が切れた際の失効の警告メッセージを受けます。

詳細

これは、以下の通りGlobal Peotectに用いるファイアウォール上の認証プロファイルでLDAPを指定することで実現できます。

ファイアウォール上のGlobal Protect用 認証プロファイルの設定

• サーバー プロファイル： 設定したLDAP プロファイルを指定している。
• ログイン属性： ユーザーまたはグループを一意に示すLDAP ディレクトリ属性を入力します。
• パスワード失効の警告： パスワード失効の前に、パスワードはあとX日で期限切れとなることを、ユーザーに警告する通知メッセージを表示し始める日数を（1から255日の範囲で入力できます）入力します。

デフォルトでは通知のメッセージはパスワード失効の7日前に表示されます。パスワードが失効するとユーザーはVPNでのアクセスができなくなります。

下記スクリーンショットのとおり、ADサーバー上では、デフォルトのドメイン ポリシーの maximum password age （パスワードの有効期限）を設定して下さい。

以下はGlobal Protectクライアントでの警告メッセージです。

注: ベストプラクティスとして、接続手段としてpre-logonを設定することを考慮してください。これによりユーザーはパスワードの失効後であっても、パスワード変更のためのドメインへの接続を許可されます。

著者: hnatarajan