44-管理员
本章节下载: 44-管理员 (355.51 KB)
管理员通过SSH、Telnet、FTP、HTTP、HTTPS、终端接入(即从Console口接入)方式登录到设备上之后,可以对设备进行配置和管理。对登录用户的管理和维护主要涉及以下几个部分:
账户管理:对用户的基本信息(用户名、密码)以及相关属性的管理。
角色管理:对用户可执行的系统功能的管理。
密码管理:对用户密码设置控制、密码更新与老化以及用户登录控制等方面进行管理。
为使请求某种服务的用户可以成功登录设备,需要在设备上添加相应的账户。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。一个有效的用户条目中可包括用户名、密码、角色、可用服务、密码管理等属性。
对登录用户权限的控制,是通过为用户赋予一定的角色来实现。一个角色中定义了允许用户执行的系统功能,例如,定义用户角色规则允许用户配置A功能,或禁止用户配置B功能。
一个角色规则中定义了允许/禁止用户操作某类实体的权限。
Web界面支持的实体类型为Web菜单,即通过Web对设备进行配置时,各配置页面以Web菜单的形式组织,按照层次关系,形成多级菜单的树形结构。
对实体的操作权限包括:
读权限:可查看指定实体的配置信息和维护信息。
写权限:可配置指定实体的相关功能和参数。
执行权限:可执行特定的功能,如与FTP服务器建立连接。
定义一个规则,就等于约定允许或禁止用户针对某类实体具有哪些操作权限。对于Web菜单实体,控制Web菜单的规则就是用来控制指定的Web菜单选项是否允许被操作。因为每个菜单项中的操作控件具有相应的读,写或执行属性,所以定义基于Web菜单的规则时,可以精细地控制菜单项中读、写或执行控件的操作。
系统预定义了多种角色,角色名和对应的权限如表-1所示。这些缺省角色均具有不同的系统功能操作权限。如果系统预定义的用户角色无法满足权限管理需求,管理员还可以自定义用户角色来对用户权限做进一步控制。
角色名 |
权限 |
超级管理员 |
超级管理员拥有操作设备所有功能的权限 |
安全管理员 |
安全管理员拥有配置安全业务功能和监控安全业务处理状态的权限 |
审计管理员 |
审计管理员仅拥有审计设备操作的权限 |
系统管理员 |
系统管理员拥有配置设备系统功能和监控设备运行状态的权限 |
虚拟设备超级管理员 |
虚拟设备超级管理员拥有操作虚拟设备所有功能的权限 |
虚拟系统超级管理员 |
虚拟系统超级管理员拥有操作虚拟系统所有功能的权限 虚拟系统超级管理员的支持情况与设备型号有关,请以设备的实际情况为准 |
根据用户认证登录方式的不同,为用户授权角色分为以下几类:
对于通过本地AAA认证登录设备的用户,由本地用户配置决定为其授权的用户角色。
对于通过AAA远程认证登录设备的用户,由AAA服务器的配置决定为其授权的用户角色。
将有效的角色成功授权给用户后,登录设备的用户才能以各角色所具有的权限来配置、管理或者监控设备。如果用户没有被授权任何角色,将无法成功登录设备。
一个用户同时只能拥有一个角色。
为了提高用户登录密码的安全性,可通过定义密码管理策略对用户的登录密码进行管理,并对用户的登录状态进行控制。管理员密码管理界面下的配置为全局配置,对所有用户生效。新建或修改指定管理员界面下的配置本文称之为本地用户密码管理配置,只对当前用户生效。本地用户密码管理中的配置优先级高于全局配置。
管理员可以限制用户密码的最小长度。当设置用户密码时,如果输入的密码长度小于设置的密码最小长度,系统将不允许设置该密码。缺省情况下,密码的最小长度为10个字符。
为确保用户的登录密码具有较高的复杂度,要求管理员为其设置的密码必须符合一定的复杂度要求,只有符合要求的密码才能设置成功。目前,可配置的复杂度要求包括:
· 不允许密码中包含用户名或颠倒的用户名。例如,用户名为“abc”,那么“abc982”或者“2cba”之类的密码就不符合复杂度要求。本功能在本地用户密码管理界面和全局密码管理界面均开启才生效。
· 不允许密码中包含连续三个或以上的相同字符。例如,密码“a111”就不符合复杂度要求。本功能在本地用户密码管理或全局密码管理界面任一位置开启都生效。
本功能需在全局密码管理对应功能开启的情况下,本地用户密码管理下的配置才生效。管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元素包括以下4种类型:
· [A~Z]
· [a~z]
· [0~9]
· 32个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密码元素的组合类型有4种,具体涵义如下:
· 组合类型为1表示密码中至少包含1种元素;
· 组合类型为2表示密码中至少包含2种元素;
· 组合类型为3表示密码中至少包含3种元素;
· 组合类型为4表示密码中包含4种元素。
当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。
管理员可以设置用户登录设备后修改自身密码的最小间隔时间。有两种情况下的密码更新并不受该功能的约束:开启密码管理后,用户首次登录设备时系统要求用户修改密码和密码老化后系统要求用户修改密码。
本功能需在全局密码管理对应功能开启的情况下,本地用户密码管理下的配置才生效。当用户登录密码的使用时间超过密码老化时间后,需要用户更换密码。如果用户输入的新密码不符合要求,或连续两次输入的新密码不一致,系统将要求用户重新输入。对于FTP用户,密码老化后,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。缺省情况下,密码的老化时间为90天。
在用户登录时,系统会判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。对于FTP用户,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。
管理员可以设置用户密码过期后在指定的时间内还能登录设备的次数。这样,密码老化的用户不需要立即更新密码,依然可以登录设备。例如,管理员设置密码老化后允许用户登录的时间为15天、次数为3次,那么用户在密码老化后的15天内,还能继续成功登录3次。
管理员可以设置系统保存用户密码历史记录。当用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在当前用户密码历史记录中,系统将提示用户密码更改失败。另外,用户更改密码时,系统会将新设置的密码与所有历史记录密码以及当前密码逐一比较,要求新密码至少与旧密码有4字符不同。并且,这4个字符必须互不相同,否则密码更改失败。
可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。
由于设备管理类本地用户配置的密码在哈希运算后以密文的方式保存,配置一旦生效后就无法还原为明文密码,因此,设备管理类本地用户的当前登录密码不会被记录到密码历史记录中。
密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。本功能需在全局密码管理对应功能开启的情况下,本地用户密码管理下的配置才生效。
每次用户认证失败后,系统会将该用户加入密码管理的黑名单。可加入密码管理功能黑名单的用户包括:FTP用户和通过VTY方式访问设备的用户。不会加入密码管理功能黑名单的用户包括:用户名不存在的用户、通过Console口连接到设备的用户。
当用户连续尝试认证的失败累加次数达到用户登录尝试的最大次数时,系统对用户的后续登录行为有以下三种处理措施:
· 永久禁止登录。只有管理员把该用户从密码管理的黑名单中删除后,该用户才能重新登录。
· 暂时禁止登录。当配置的禁止时间超时或者管理员将其从密码管理的黑名单中删除,该用户才可以重新登录。
· 允许继续登录。在该用户登录成功后,该用户会从密码管理的黑名单中删除。
缺省情况下,用户登录尝试次数为3次。如果用户登录失败,则允许该用户在1分钟后重新登录。
管理员可以限制用户帐号的闲置时间。在配置的闲置时间内,用户从未成功登录过,此用户账户将失效,系统不再允许使用该帐号的用户登录。
若管理员设置的密码为弱密码,无论密码管理是否开启,设备都在用户登录时弹框提示,建议修改密码。
弱密码的判断条件包括以下几项,只要其中一项不符合,系统就识别为弱密码:
· 密码长度检查。有关此项详细介绍,请参见上文中的“密码长度检查”。
· 密码组合检查。有关此项详细介绍,请参见上文中的“密码组合检查”。
· 密码中不能包括用户名或者字符顺序颠倒的用户名。有关此项详细介绍,请参见上文中的“密码复杂度检查”。
· 不允许密码中包含连续三个或以上的相同字符。此项弱密码判断条件仅当密码管理功能开启后才生效。有关此项详细介绍,请参见上文中的“密码复杂度检查”。
可以根据实际使用场景,开启“弱密码时强制修改密码”功能。本功能仅对后续新登录的用户生效,不影响当前已登录用户。当用户使用弱密码登录,若未开启本功能,系统仅在登录时弹框建议修改弱密码,但不强制。用户可以忽略提示,继续登录设备。若开启了本功能,系统会强制要求修改为非弱密码才允许登录设备。管理员开启“弱密码时强制修改密码”功能时,必须至少配置一项弱密码判断条件。
· 当前用户登录密码尝试失败次数到配置的最大值后,无法使用自己的IP地址访问设备。
· 修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 若要使得具体的密码管理功能生效,需在管理员页面菜单栏的<密码管理>中开启密码管理功能。
· 管理员页面和本地用户页面中的密码管理功能相互关联,相同配置项的参数共用,一个页面中修改参数后,另一页面自动同步修改。
· 开启密码管理之后,设置的登录用户密码必须至少由四个不同的字符组成。
· 对于FTP用户,密码过期后,系统不允许其继续登录,也不允许FTP用户自行更改密码,只能由管理员修改FTP用户的密码。
· 由于FTP用户不支持计费,因此FTP用户不受同时在线最大用户数限制。
· 在管理员页面菜单栏的<密码管理>中配置的内容对所有设备管理类的本地用户生效。对于密码老化时间、密码最小长度、密码复杂度检查、密码组合检查和密码尝试次数这几种功能,可分别在<密码管理>和新建管理员页面的高级设置中配置相关参数,其生效优先级从高到低依次为:新建管理员页面的配置->密码管理中的配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!