*一些*用户遇到登录失败

我们的极少数用户反复遇到登录失败，并且每次都必须重置其密码。有人可以建议可行的解决方案吗？细节如下。

显然，该行为如下：

• 用户打开登录页面，输入有效的用户名和密码。
• 登录失败，反复！
• 用户要求重设密码。然后，使用来自电子邮件的链接能够：重置密码，登录并访问他们的帐户
• 下次登录时，用户必须重复该过程。

不幸的是，我们不能自己重复该问题。但是我们浏览了Drupal日志和Apache访问日志，并观察到以下内容：

• 该问题不仅限于特定的浏览器（在IE，Safari，Firefox上看到）或特定的操作系统（在Windows，Mac，iPad上看到）
• 用户通常确实打开了cookie。我们插入了一些自定义代码，以警告用户关闭cookie并将“ cookie禁用”写入Drupal日志。
• 清除Drupal中的所有缓存不能解决问题。
• 我们的一位用户已经尝试过在浏览器中清除Cookie也无法解决问题。

我们在Ubuntu服务器上运行Apache。

在settings.php中，$ base_url被注释掉；$ cookie_domain也被注释掉。它已经设置好了，但是我们认为删除它更安全，尽管我不确定这有什么不同。

我们正在使用“ Profile2”和“ Profile2注册路径”模块。但是，我怀疑这些模块是否会成为我们问题的根源，因为我找不到任何其他记录有关这些模块的登录问题的记录。

你有什么建议吗？

我应该提到，该站点正在运行Drupal 7.13。

当用户单击密码重置链接时，当前会提示他们更改密码。

我们还要求一个用户尝试使用另一种浏览器，但遗憾的是，这不能解决他们的问题。我们也注意到IE，Firefox和Safari上的问题，因此，我们认为这不是特定于浏览器的问题

我想请有这个问题的人中的一个与您一起解决这个问题。当他们遇到问题时，请进行Skype屏幕共享或看着他们的肩膀。

以我的经验，这些人在输入新密码后没有单击“保存”，因此他们的密码实际上并未更改。

这并不意味着要挖掘旧的线程，而只是试图帮助找到它的任何人-我们在两个站点和两个站点上遇到了这里描述的确切问题。我们最终发现，这是由于用户尝试使用电子邮件地址而非用户名登录所导致的，这就是为什么他们能够重设密码但无法登录的原因。

也许您的用户被洪水淹没了。太多不成功的登录将导致用户被阻止。鲜为人知的功能是，给定IP的登录失败太多会导致用户被阻止。默认情况下，它设置为每小时50次失败尝试。

因此，如果您有很多用户通过单个IP进行访问（也许他们在公司网络上），那么一些忘记密码的人可能会无意间将彼此锁定。下次遇到此问题时，查看洪水表以查看它们是否被锁定将很有趣。

为了测试这一点，您还可以增加洪泛锁值user_failed_login_ip_limit和user_failed_login_ip_window。内核中没有用于此的UI，但Flood Control模块提供了一个。或者，您可以从drush或settings.php文件中轻松设置该值。