Printer Friendly Page
※この記事は以下の記事の日本語訳です。
Password Expiry Warning on the GlobalProtect Client
https://live.paloaltonetworks.com/t5/Configuration-Articles/Password-Expiry-Warning-on-the-GlobalPro...
概要
LDAPを認証方法として使用している場合、Global Protectユーザーはパスワードの期限が切れた際の失効の警告メッセージを受けます。
詳細
これは、以下の通りGlobal Peotectに用いるファイアウォール上の認証プロファイルでLDAPを指定することで実現できます。
ファイアウォール上のGlobal Protect用 認証プロファイルの設定
- サーバー プロファイル: 設定したLDAP プロファイルを指定している。
- ログイン属性: ユーザーまたはグループを一意に示すLDAP ディレクトリ属性を入力します。
- パスワード失効の警告: パスワード失効の前に、パスワードはあとX日で期限切れとなることを、ユーザーに警告する通知メッセージを表示し始める日数を(1から255日の範囲で入力できます)入力します。
デフォルトでは通知のメッセージはパスワード失効の7日前に表示されます。パスワードが失効するとユーザーはVPNでのアクセスができなくなります。
下記スクリーンショットのとおり、ADサーバー上では、デフォルトのドメイン ポリシーの maximum password age (パスワードの有効期限)を設定して下さい。
以下はGlobal Protectクライアントでの警告メッセージです。
注: ベストプラクティスとして、接続手段としてpre-logonを設定することを考慮してください。これによりユーザーはパスワードの失効後であっても、パスワード変更のためのドメインへの接続を許可されます。
著者: hnatarajan
Copyright 2007 - 2020 - Palo Alto Networks
