08-Password Control命令
本章节下载: 08-Password Control命令 (340.07 KB)
目 录
1.1.1 display password-control
1.1.2 display password-control blacklist
1.1.3 password-control { aging | composition | history | length } enable
1.1.5 password-control alert-before-expire
1.1.6 password-control authentication-timeout
1.1.7 password-control blacklist all-line
1.1.8 password-control change-password first-login enable
1.1.9 password-control change-password weak-password enable
1.1.10 password-control complexity
1.1.11 password-control composition
1.1.12 password-control enable
1.1.13 password-control expired-user-login
1.1.14 password-control history
1.1.15 password-control length
1.1.16 password-control login idle-time
1.1.17 password-control login-attempt
1.1.18 password-control per-user blacklist-limit
1.1.19 password-control super aging
1.1.20 password-control super composition
1.1.21 password-control super length
1.1.22 password-control update-interval
1.1.23 reset password-control blacklist
1.1.24 reset password-control history-record
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
display password-control命令用来显示密码管理的配置信息。
【命令】
display password-control [ super ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
super:显示super密码管理的配置信息。如果不指定该参数,将显示全局密码管理的配置信息。
【举例】
# 显示全局密码管理的配置信息。
<Sysname> display password-control
Global password control configurations:
Password control: Enabled (device management users)
Enabled (network access users)
Password aging: Enabled (90 days)
Password length: Enabled (10 characters)
Password composition: Enabled (1 types, 1 characters per type)
Password history: Enabled (max history records:4)
Early notice on password expiration: 7 days
User authentication timeout: 600 seconds
Maximum login attempts: 3
Action for exceeding login attempts: Lock user for 1 minutes
Password history was last reset: 0 days ago (device management users)
0 days ago (network access users)
Minimum interval between two updates: 24 hours
User account idle time: 90 days
Logins with aged password: 3 times in 30 days
Password complexity: Disabled (username checking)
Disabled (repeated characters checking)
Password change: Enabled (first login)
Enabled (mandatory weak password change)
All line: Disabled (all line blacklist)
# 显示super密码管理的配置信息。
<Sysname> display password-control super
Super password control configurations:
Password aging: Enabled (90 days)
Password length: Enabled (10 characters)
Password composition: Enabled (1 types, 1 characters per type)
表1-1 display password-control命令显示信息描述表
字段 |
描述 |
Global password control configurations |
全局密码管理配置 |
Super password control configurations |
Super密码管理配置 |
Password control |
全局密码管理功能的开启状态(设备管理类和网络接入类) |
Password aging |
密码老化功能的开启状态(密码的老化时间) |
Password length |
密码最小长度功能的开启状态(密码的最小长度) |
Password composition |
密码组合策略的开启状态(密码元素的组合类型、至少要包含每种元素的个数) |
Password history |
密码历史记录功能的开启状态(密码历史记录的最大条数) |
Early notice on password expiration |
密码过期前的提醒时间 |
User authentication timeout |
用户认证超时时间 |
Maximum login attempts |
用户最大登录尝试次数 |
Action for exceeding login attempts |
登录尝试次数达到设定次数后的用户账户锁定行为 |
Password history was last reset |
上一次清除设备管理类或网络接入类用户的密码历史记录的时间 |
Minimum interval between two updates |
密码更新的最小时间间隔 |
User account idle time |
用户帐号闲置时间 |
Logins with aged password |
密码过期后允许用户登录的次数和时间 |
Password complexity |
密码复杂度检查功能(用户名检查、连续字符检查)的开启状态 |
Password change |
修改密码功能的状态: · Enabled (first login):开启首次登录修改密码功能 · Disabled (first login):关闭首次登录修改密码功能 · Enabled (mandatory weak password change):开启弱密码登录强制改密功能 · Disabled (mandatory weak password change):关闭弱密码登录强制改密功能 |
全用户线登录用户黑名单功能的状态: · Enabled (all line blacklist):开启全用户线登录用户黑名单功能 · Disabled (all line blacklist):关闭全用户线登录用户黑名单功能 |
display password-control blacklist命令用来显示用户认证失败后,被加入密码管理黑名单中的用户信息。
【命令】
display password-control blacklist [ user-name user-name | ip ipv4-address | ipv6 ipv6-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
user-name user-name:显示密码管理黑名单中指定用户名的用户信息。其中,user-name表示用户名,为1~55个字符的字符串,区分大小写。
ip ipv4-address:显示密码管理黑名单中指定IPv4地址的用户信息。
ipv6 ipv6-address:显示密码管理黑名单中指定IPv6地址的用户信息。
【使用指导】
如果不指定任何参数,则显示密码管理黑名单中同一用户名可记录的最大黑名单表项数、黑名单中的用户总数和所有用户信息。
通过AUX以及USB用户线登录的用户在认证失败后,其用户名会被加入密码管理的黑名单。FTP用户和通过VTY方式访问设备的用户在认证失败后,其IP地址和用户名会被加入密码管理的黑名单。
不同IP地址的用户采用同一个用户名登录时,若登录设备失败,则设备会针对每个IP地址记录黑名单表项。当设备记录的该用户加入密码管理黑名单的表项数超过配置的最大值之后,若该用户采用新的IP地址再次登录认证失败,则该用户名相关的最早一条黑名单记录表项会被删除,新的记录被加入黑名单列表。
【举例】
# 显示用户认证失败后,被加入密码管理黑名单中的用户信息。
<Sysname> display password-control blacklist
Per-user blacklist limit: 100.
Blacklist items matched: 2.
Username IP address Login failures Lock flag
abcd 169::168:34:1 4 lock
admin 192.168.34.1 1 unlock
表1-2 display password-control blacklist命令显示信息描述表
字段 |
描述 |
Per-user blacklist limit |
同一用户名可记录的最大黑名单表项数 |
Blacklist items matched |
匹配的黑名单表项数目 |
Username |
用户名 |
IP address |
用户的IP地址 |
Login failures |
用户登录失败的次数 |
Lock flag |
该用户是否被锁定 · unlock:表示未锁定,允许用户再次尝试登录 · lock:表示锁定。对于拥有IP地址的用户,暂时或永久禁止用户通过登录失败IP地址尝试登录;对于没有IP地址的用户,暂时或永久禁止用户在AUX以及USB用户线尝试登录(具体由password-control login-attempt命令的配置情况决定) |
password-control { aging | composition | history | length } enable命令用来使能指定的密码管理功能。
undo password-control { aging | composition | history | length } enable命令用来关闭指定的密码管理功能。
【命令】
password-control { aging | composition | history | length } enable
undo password-control { aging | composition | history | length } enable
【缺省情况】
各密码管理功能均处于使能状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
aging:使能密码老化管理功能。
composition:使能密码的组合检测管理功能。
history:使能密码历史记录检测管理功能。
length:使能密码最小长度管理功能。
【使用指导】
密码老化管理功能和密码历史记录检测管理功能的生效,首先必须保证全局密码管理功能处于使能状态,其次要保证密码老化管理功能或历史记录检测管理功能处于使能状态。
非FIPS模式下,密码的组合检测管理功能和密码最小长度管理功能默认开启且不依赖于全局密码管理功能是否开启。缺省情况下,密码的最小长度为10个字符,密码元素的最少组合类型为2种,至少要包含每种元素的个数为1个。
FIPS模式下,要使密码的组合检测管理功能或密码最小长度管理功能生效,首先必须保证全局密码管理功能处于开启状态,其次要保证密码的组合检测管理功能或密码最小长度管理功能处于开启状态。在二者均开启的情况下,默认密码的最小长度为15个字符,且至少要有四个字符不同。
若配置设备管理类本地用户密码使用HASH方式设置,即使开启了全局和指定密码管理功能,也不会对其密码的长度、组合策略和复杂度进行检查,也不和所有记录的历史密码以及当前密码比较。设备管理类本地用户密码的具体配置方式,请参见“安全命令参考”中的“AAA”。
密码历史记录检测管理功能关闭后,系统将不再检测新密码是否与所有历史密码不同,但历史密码记录功能不会关闭,当记录的某用户的历史密码条数达到password-control history max-record-number命令设置的最大值后,该用户的后续新密码历史记录将覆盖最老的一条密码历史记录。
【举例】
# 使能全局密码管理功能。
<Sysname> system-view
[Sysname] password-control enable
# 使能密码组合检测管理功能。
[Sysname] password-control composition enable
# 使能密码老化功能。
[Sysname] password-control aging enable
# 使能密码最小长度功能。
[Sysname] password-control length enable
# 使能密码历史记录检测功能。
[Sysname] password-control history enable
【相关命令】
· display password-control
· password-control enable
password-control aging命令用来配置密码的老化时间。
undo password-control aging命令用来恢复缺省情况。
【命令】
password-control aging aging-time
undo password-control aging
【缺省情况】
全局的密码老化时间为90天;用户组的密码老化时间为全局配置的密码老化时间;本地用户的密码老化时间为所属用户组的密码老化时间。
【视图】
系统视图
用户组视图
本地用户视图
【缺省用户角色】
network-admin
【参数】
aging-time:密码的老化时间,取值范围为1~365,单位为天。
【使用指导】
系统视图下配置具有全局性,对所有用户组有效,用户组视图下的配置对用户组内所有本地用户有效,本地用户视图下的配置只对当前本地用户有效。
该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即,系统优先采用本地用户视图下的非缺省配置,若本地用户视图下为缺省配置,则采用用户组视图下的非缺省配置,若用户组视图下也为缺省配置,则采用全局视图下的配置。
【举例】
# 配置全局的密码老化时间为80天。
<Sysname> system-view
[Sysname] password-control aging 80
# 配置用户组test的密码老化时间为90天。
[Sysname] user-group test
[Sysname-ugroup-test] password-control aging 90
[Sysname-ugroup-test] quit
# 配置设备管理类本地用户abc的密码老化时间为100天。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] password-control aging 100
【相关命令】
· display local-user(安全命令参考/AAA)
· display password-control
· display user-group(安全命令参考/AAA)
· password-control aging enable
password-control alert-before-expire命令用来配置密码过期前的提醒时间。
undo password-control alert-before-expire命令用来恢复缺省情况。
【命令】
password-control alert-before-expire alert-time
undo password-control alert-before-expire
【缺省情况】
密码过期前的提醒时间为7天,表示在密码过期之前7天内,系统会在用户登录时提醒其密码即将过期。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
alert-time:密码过期前的提醒时间,取值范围为1~30,单位为天。
【使用指导】
不允许FTP用户更改密码,只能由管理员修改FTP用户的密码,因此本命令配置的过期提醒时间仅对非FTP类型的Login用户有效。
【举例】
# 设定密码过期前的提醒时间为10天。
<Sysname> system-view
[Sysname] password-control alert-before-expire 10
【相关命令】
· display password-control
password-control authentication-timeout命令用来配置用户认证的超时时间。
undo password-control authentication-timeout命令用来恢复缺省情况。
【命令】
password-control authentication-timeout timeout
undo password-control authentication-timeout
【缺省情况】
用户认证的超时时间为600秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
timeout:用户认证的超时时间,取值范围为30~600,单位为秒。
【使用指导】
本命令仅只对telnet和终端接入类型的登录用户生效,可控制此类用户认证超时时间,超时后连接断开。
【举例】
# 设定用户认证的超时时间为40秒。
<Sysname> system-view
[Sysname] password-control authentication-timeout 40
【相关命令】
display password-control
password-control blacklist all-line命令用来开启全用户线登录用户的黑名单功能。
undo password-control blacklist all-line命令用来关闭全用户线登录用户的黑名单功能。
【命令】
password-control blacklist all-line
undo password-control blacklist all-line
【缺省情况】
全用户线登录用户的黑名单功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,开启全局密码管理功能后,设备仅对通过FTP用户和通过VTY或Web方式访问设备的用户开启黑名单功能。如果要对全部用户线(AUX、VTY以及USB用户线)登录的用户启用黑名单功能,则还需要开启全用户线登录用户的黑名单功能。有关用户线的详细介绍请参见“基础配置指导”中的“配置通过CLI登录设备”。
开启全用户线登录用户的黑名单功能后,对于通过AUX以及USB用户线登录的所有用户,只要用户名一致,他们的错误次数就会累加,达到指定数值后,该用户会被加入黑名单,并被执行相应的处理措施。
可通过password-control login-attempt命令来配置允许用户登录的最大尝试次数以及登录尝试失败后的处理措施。
【举例】
# 开启全用户线登录用户的黑名单功能。
<Sysname> system-view
[Sysname] password-control blacklist all-line
【相关命令】
· display password-control
· display password-control blacklist
· password-control enable
· password-control login-attempt
password-control change-password first-login enable命令用来开启首次登录修改密码功能。
undo password-control change-password first-login enable命令用来关闭首次登录修改密码功能。
【命令】
password-control change-password first-login enable
undo password-control change-password first-login enable
【缺省情况】
用户首次登录设备时修改密码功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
若要首次登录修改密码功能生效,必须保证全局密码管理功能和首次登录修改密码功能均处于开启状态。
FIPS模式下,首次登录修改密码功能不允许关闭。
【举例】
# 开启首次登录修改密码功能。
<Sysname> system-view
[Sysname] password-control change-password first-login enable
【相关命令】
· display password-control
· password-control enable
password-control change-password weak-password enable命令用来开启弱密码登录修改密码功能。
undo password-control change-password weak-password enable命令用来关闭弱密码登录修改密码功能。
【命令】
password-control change-password weak-password enable
undo password-control change-password weak-password enable
【缺省情况】
(非FIPS模式下)
弱密码登录修改密码功能处于关闭状态。
(FIPS模式下)
弱密码登录修改密码功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
通过Telnet、SSH、HTTP、HTTPS方式登录的设备管理类用户,输入登录密码时,系统会根据当前设定的Password control密码组合检测策略、密码最小长度限制以及密码复杂度检查策略对用户的登录密码进行检查,若不符合以上密码检查策略要求,则视为弱密码。
非FIPS模式下,弱密码登录修改密码功能默认关闭。用户使用弱密码登录设备时,系统会打印提示信息,但不会强制用户修改密码,即使用弱密码也可以登录设备。为了提高设备使用的安全性,通过配置本命令,可禁止Telnet、SSH、HTTP、HTTPS方式登录的设备管理类用户使用弱密码登录。设备会要求弱密码登录用户修改密码,直到密码组合策略、密码长度以及密码复杂度检查策略的设定符合设备要求。
FIPS模式下,弱密码登录修改密码功能默认开启,且不能关闭。通过SSH、HTTPS方式登录的设备管理类用户使用弱密码登录时,设备会要求其修改密码,直到密码组合策略、密码长度以及密码复杂度检查策略的设定符合设备要求。
可以通过display password-control命令查看当前密码设置要求,并可通过password-control composition、password-control length和password-control complexity命令修改密码组合策略、密码长度和密码复杂度检查策略的配置。
【举例】
# 在系统视图下,开启弱密码登录修改密码功能。
<Sysname> system-view
[Sysname] password-control change-password weak-password enable
【相关命令】
· display password-control
· password-control { aging | composition | history | length } enable
· password-control complexity
· password-control composition
· password-control length
· password-control enable
password-control complexity命令用来配置用户密码的复杂度检查策略。
undo password-control complexity命令用来取消指定的密码复杂度检查策略。
【命令】
password-control complexity { same-character | user-name } check
undo password-control complexity { same-character | user-name } check
【缺省情况】
(非FIPS模式下)
全局的密码复杂度检查策略为:对用户密码进行复杂度检查,不允许密码中包含用户名或者倒序的用户名,不允许密码或密码的倒序为用户名的一部分,但允许包含连续三个或以上的相同字符;用户组的密码复杂度检查策略为全局的密码复杂度检查策略;本地用户的密码复杂度检查策略为所属用户组的密码复杂度检查策略。
(FIPS模式下)
全局的密码复杂度检查策略为:不对用户密码进行复杂度检查,允许密码中包含用户名或者倒序的用户名,允许密码或密码的倒序为用户名的一部分,也允许包含连续三个或以上的相同字符;用户组的密码复杂度检查策略为全局的密码复杂度检查策略;本地用户的密码复杂度检查策略为所属用户组的密码复杂度检查策略。
【视图】
系统视图
用户组视图
本地用户视图
【缺省用户角色】
network-admin
【参数】
same-character:指定检查密码中是否包含连续三个或以上相同的字符。例如,密码aaabc就不符合该项复杂度检查。
user-name:指定检查密码中是否包含用户名或者倒序的用户名,检查密码或密码的倒序是否为用户名的一部分。例如,用户名为123,则密码abc123、321df不符合该项复杂度检查;用户名为12345,密码为4321也不符合该项复杂度检查。
【使用指导】
系统视图下配置具有全局性,对所有用户组有效,用户组视图下的配置对用户组内所有本地用户有效,本地用户视图下的配置只对当前本地用户有效。
该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即,系统优先采用本地用户视图下的非缺省配置,若本地用户视图下为缺省配置,则采用用户组视图下的非缺省配置,若用户组视图下也为缺省配置,则采用全局视图下的配置。
非FIPS模式下,密码复杂度检查的用户名检查功能不依赖于全局密码管理功能是否开启。
FIPS模式下,必须在开启全局密码管理功能的情况下,再配置密码复杂度检测才生效。
可以通过多次执行本命令同时打开用户名检查以及连续字符检查功能。
【举例】
# 配置密码复杂度检测策略为,检查配置的密码中是否包含用户名或者倒序的用户名,检查密码或密码的倒序是否为用户名的一部分。
<Sysname> system-view
[Sysname] password-control complexity user-name check
【相关命令】
· display local-user(安全命令参考/AAA)
· display password-control
· display user-group(安全命令参考/AAA)
password-control composition命令用来配置用户密码的组合策略。
undo password-control composition命令用来恢复缺省情况。
【命令】
password-control composition type-number type-number [ type-length type-length ]
undo password-control composition
【缺省情况】
(非FIPS模式下)
全局的密码元素的最少组合类型为2种,至少要包含每种元素的个数为1个;用户组的密码组合策略为全局配置的密码组合策略;本地用户的密码组合策略为所属用户组的密码组合策略。
(FIPS模式下)
全局的密码元素的最少组合类型为4种,至少要包含每种元素的个数为1个;用户组的密码组合策略为全局配置的密码组合策略;本地用户的密码组合策略为所属用户组的密码组合策略。
【视图】
系统视图
用户组视图
本地用户视图
【缺省用户角色】
network-admin
【参数】
type-number type-number:密码元素的最少组合类型。其中,type-number表示组合类型的个数,非FIPS模式下,取值范围为1~4;FIPS模式下,取值为4。
type-length type-length:密码中至少要包含每种元素的个数。其中,type-length表示元素个数,非FIPS模式下,取值范围为1~63;FIPS模式下,取值范围为1~15。
【使用指导】
系统视图下配置具有全局性,对所有用户组有效,用户组视图下的配置对用户组内所有本地用户有效,本地用户视图下的配置只对当前本地用户有效。
该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即,系统优先采用本地用户视图下的非缺省配置,若本地用户视图下为缺省配置,则采用用户组视图下的非缺省配置,若用户组视图下也为缺省配置,则采用全局视图下的配置。
密码元素的最少组合类型数以及每种元素的最小个数的乘积不能大于允许的最大密码长度。
【举例】
# 配置全局的密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
<Sysname> system-view
[Sysname] password-control composition type-number 4 type-length 5
# 配置用户组test的密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
[Sysname] user-group test
[Sysname-ugroup-test] password-control composition type-number 4 type-length 5
[Sysname-ugroup-test] quit
# 配置设备管理类本地用户abc的密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] password-control composition type-number 4 type-length 5
【相关命令】
· display local-user(安全命令参考/AAA)
· display password-control
· display user-group(安全命令参考/AAA)
· password-control composition enable
password-control enable命令用来开启全局密码管理功能。
undo password-control enable命令用来关闭全局密码管理功能。
【命令】
password-control enable [ network-class ]
undo password-control enable [ network-class ]
【缺省情况】
(非FIPS模式下)
设备管理类本地用户和网络接入类本地用户全局密码管理功能处于关闭状态。
(FIPS模式下)
设备管理类本地用户全局密码管理功能处于开启状态,且不能关闭。
网络接入类本地用户全局密码管理功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
network-class:开启网络接入类本地用户全局密码管理功能。若不指定此参数,表示开启设备管理类本地用户的全局密码管理功能。
【使用指导】
开启全局密码管理功能后,设备自动生成后缀名为“dat”的文件并保存于存储介质中用于记录本地用户的认证、登录信息。请不要手工删除或修改该文件。
对于设备管理类本地用户,除密码的组合检测管理功能、密码最小长度管理功能以及密码复杂度检查策略中的用户名检测功能不依赖于全局密码管理功能是否开启外,其它指定的密码管理功能只有在使能了全局密码管理功能的情况下才能生效。
开启全局密码管理功能后,设置的本地用户密码必须至少由四个不同的字符组成。
开启设备管理类本地用户全局密码管理功能后,设备管理类本地用户密码以及super密码的配置将不被显示,即无法通过相应的display命令查看到设备管理类本地用户密码以及super密码的配置。开启网络接入类本地用户全局密码管理功能后,网络接入类本地用户密码配置将不被显示,即无法通过相应的display命令查看到网络接入类本地用户密码配置。
设备管理类本地用户支持所有的密码管理功能。
网络接入类本地用户支持的密码管理功能仅包括:配置密码的复杂度检查策略、配置密码的组合策略、配置密码最小长度、配置密码更新的最小时间间隔、配置每个用户密码历史记录的最大条数。对于网络接入类本地用户,所有密码管理功能只有在使能了全局密码管理功能的情况下才能生效。
【举例】
# 开启设备管理类本地用户的全局密码管理功能。
<Sysname> system-view
[Sysname] password-control enable
# 开启网络接入类本地用户的全局密码管理功能。
<Sysname> system-view
[Sysname] password-control enable network-class
【相关命令】
· display password-control
· password-control complexity
· password-control { aging | composition | history | length } enable
· password-control backlist all-line
· password-control update-interval
password-control expired-user-login命令用来配置密码过期后允许用户登录的时间和次数。
undo password-control expired-user-login命令用来恢复缺省情况。
【命令】
password-control expired-user-login delay delay times times
undo password-control expired-user-login
【缺省情况】
密码过期后允许登录的时间为30天,允许登录的次数为3次,即密码过期后系统还允许用户在30天内使用老密码登录3次,超过30天或登录次数超过3次后,系统提示用户设置新密码。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
delay delay:密码过期后允许用户登录的时长,取值范围为1~90,单位为天。
times times:密码过期后允许用户登录的最大次数,取值范围为0~10。0表示密码过期后系统直接提示用户设置新密码。
【使用指导】
该配置仅对非FTP类型的Login用户生效。对于FTP用户,密码过期后,系统不允许其继续登录。
【举例】
# 设定允许用户在密码过期之后的60天内登录5次。
<Sysname> system-view
[Sysname] password-control expired-user-login delay 60 times 5
【相关命令】
· display password-control
password-control history命令用来配置每个用户密码历史记录的最大条数。
undo password-control history命令用来恢复缺省情况。
【命令】
password-control history max-record-number
undo password-control history
【缺省情况】
每个用户密码历史记录的最大条数为4条。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
max-record-number:每个用户密码历史记录的最大条数,取值范围为2~15。
【使用指导】
开启全局密码管理功能后,系统会持续记录历史密码。当记录的某用户的历史密码条数达到最大值后,该用户的后续新密码历史记录将覆盖最老的一条密码历史记录。
只有当关闭全局密码管理功能(undo password-control enable)或手动清除历史密码记录时(reset password-control history-record),历史密码记录才会被清除掉。
设备管理类本地用户和用户角色切换的密码是以哈希运算后的密文方式保存,无法还原为明文密码,因此在配置新的设备管理类本地用户密码或用户角色切换密码时:如果新密码以哈希方式设置,则不用和所有记录的历史密码以及当前密码比较;如果新密码以明文方式配置,则新密码要与所有记录的历史密码以及当前密码不同,当需要用户输入旧密码校验时,还要检查新密码和用户输入的旧密码至少有4个字符不同,且这4个字符必须互不相同,否则密码更改失败。
【举例】
# 配置每个用户密码历史记录的最大条数为10条。
<Sysname> system-view
[Sysname] password-control history 10
【相关命令】
· display password-control
· password-control history enable
· reset password-control blacklist
password-control length命令用来配置密码的最小长度。
undo password-control length命令用来恢复缺省情况。
【命令】
password-control length length
undo password-control length
【缺省情况】
(非FIPS模式下)
全局的密码最小长度为10个字符;用户组的密码最小长度为全局配置的密码最小长度;本地用户的密码最小长度为所属用户组的密码最小长度。
(FIPS模式下)
全局的密码最小长度为15个字符;用户组的密码最小长度为全局配置的密码最小长度;本地用户的密码最小长度为所属用户组的密码最小长度。
【视图】
系统视图
用户组视图
本地用户视图
【缺省用户角色】
network-admin
【参数】
length:密码的最小长度,非FIPS模式下,取值范围为4~32;FIPS模式下,取值范围为15~32。
【使用指导】
系统视图下配置具有全局性,对所有用户组有效,用户组视图下的配置对用户组内所有本地用户有效,本地用户视图下的配置只对当前本地用户有效。
该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即,系统优先采用本地用户视图下的非缺省配置,若本地用户视图下为缺省配置,则采用用户组视图下的非缺省配置,若用户组视图下也为缺省配置,则采用全局视图下的配置。
【举例】
# 配置全局的密码最小长度为16个字符。
<Sysname> system-view
[Sysname] password-control length 16
# 配置用户组test的密码最小长度为16个字符。
[Sysname] user-group test
[Sysname-ugroup-test] password-control length 16
[Sysname-ugroup-test] quit
# 配置设备管理类本地用户abc的密码最小长度为16个字符。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] password-control length 16
【相关命令】
· display local-user(安全命令参考/AAA)
· display password-control
· display user-group(安全命令参考/AAA)
· password-control length enable
password-control login idle-time命令用来配置用户帐号的闲置时间。
undo password-control login idle-time命令用来恢复缺省情况。
【命令】
password-control login idle-time idle-time
undo password-control login idle-time
【缺省情况】
用户帐号的闲置时间为90天。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
idle-time:用户帐号的闲置时间,取值范围为0~365,单位为天。0表示对用户帐号闲置时间无限制。
【使用指导】
如果用户自最后一次成功登录后,在指定的闲置时间内再未成功登录过设备,那么该用户帐号将会失效。
用户最后一次登录设备成功后,若系统时间变化,也可能导致用户账号失效。
账号失效后,用户将无法正常登录设备。若不需要账号闲置时间检查功能,可将idle-time配置为0,表示Password Control功能对用户账号闲置时间无限制。
【举例】
# 设定用户帐号的闲置时间为30天,表示自最后一次成功登录后,若用户在30天内再未成功登录过设备,那么该用户帐号将会失效。
<Sysname> system-view
[Sysname] password-control login idle-time 30
【相关命令】
· display password-control
password-control login-attempt命令用来配置允许用户登录的最大尝试次数以及登录尝试失败后的处理措施。
undo password-control login-attempt命令用来恢复缺省情况。
【命令】
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
undo password-control login-attempt
【缺省情况】
全局的用户登录尝试次数限制策略为:用户登录尝试的最大次数为3次。如果某用户登录尝试失败,则1分钟后再允许该用户重新登录;用户组的用户登录尝试次数限制策略为全局配置的用户登录尝试次数限制策略;本地用户的登录尝试次数限制策略为所属用户组的用户登录尝试次数限制策略。
【视图】
系统视图
用户组视图
本地用户视图
【缺省用户角色】
network-admin
【参数】
login-times:用户登录尝试的最大次数,取值范围为2~10。
exceed:对登录尝试失败次数超过最大值的用户所采取的处理措施。
lock:对于FTP用户和通过VTY方式访问设备的用户,表示永久禁止该用户通过登录失败IP地址登录;对于通过AUX以及USB用户线访问设备的用户,表示永久禁止该用户通过AUX以及USB用户线登录。
lock-time time:对于FTP用户和通过VTY方式访问设备的用户,表示禁止该用户通过登录失败IP地址登录,经过一段时间后,再允许该用户重新登录;对于通过AUX以及USB用户线的用户,表示禁止该用户通过AUX以及USB用户线登录,经过一段时间后,再允许该用户重新登录。其中,time为禁止该用户的时间,取值范围为1~360,单位为分钟。
unlock:对于FTP用户和通过VTY方式访问设备的用户,表示不禁止该用户,允许其继续通过现有IP地址登录;对于通过AUX以及USB用户线的用户,表示不禁止该用户,允许其继续通过AUX以及USB用户线登录。
【使用指导】
系统视图下配置具有全局性,对所有用户组有效,用户组视图下的配置对用户组内所有本地用户有效,本地用户视图下的配置只对当前本地用户有效。
该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即,系统优先采用本地用户视图下的非缺省配置,若本地用户视图下为缺省配置,则采用用户组视图下的非缺省配置,若用户组视图下也为缺省配置,则采用全局视图下的配置。
FTP用户和通过VTY方式访问设备的用户登录认证失败后,系统会将其用户名和IP地址加入密码管理的黑名单;通过AUX以及USB用户线访问设备的用户登录认证失败后,系统会将其用户名加入密码管理的黑名单。当登录失败次数超过指定值后,系统将会根据此处配置的处理措施对其之后的登录行为进行相应的限制,并且该用户只能在满足相应的条件后才可重新登录:
· 对于被永久禁止登录的用户,只有管理员使用reset password-control blacklist命令把该用户从密码管理的黑名单中删除后,该用户才能重新登录。
· 对于被禁止一段时间内登录的用户,当配置的禁止时间超时或者管理员使用reset password-control blacklist命令将其从密码管理的黑名单中删除,该用户才可以重新登录。
· 对于不禁止登录的用户,只要用户登录成功后,该用户就会从该黑名单中删除。
本命令生效后,会立即影响密码管理黑名单中当前用户的锁定状态以及这些用户后续的登录。
【举例】
# 管理员设定用户登录尝试次数为4次,并且永久禁止该用户通过现有IP地址登录。
<Sysname> system-view
[Sysname] password-control login-attempt 4 exceed lock
之后,若有用户连续尝试认证的失败累加次数达到4次,管理员可通过命令查看到被加入密码管理黑名单中的用户锁定状态由之前的unlock切换为lock,且该用户无法再次通过现有IP地址成功登录。
<Sysname> display password-control blacklist
Per-user blacklist limit: 100.
Blacklist items matched: 1.
Username IP address Login failures Lock flag
test 192.168.44.1 4 lock
# 管理员设定用户登录尝试次数为2次,并且限制该用户在3分钟后才能重新登录。
<Sysname> system-view
[Sysname] password-control login-attempt 2 exceed lock-time 3
之后,若有用户连续尝试认证的失败累加次数达到2次,管理员可通过命令查看到被加入密码管理黑名单中的用户锁定状态由之前的unlock切换为lock。
<Sysname> display password-control blacklist
Per-user blacklist limit: 100.
Blacklist items matched: 1.
Username IP address Login failures Lock flag
test 192.168.44.1 2 lock
若用户被禁止通过现有的IP地址登录,经过3分钟后,将被从密码管理黑名单中删除,且可以重新登录。
【相关命令】
· display local-user(安全命令参考/AAA)
· display password-control
· display password-control blacklist
· display user-group(安全命令参考/AAA)
· password-control backlist all-line
· reset password-control blacklist
password-control per-user blacklist-limit命令用来配置密码管理黑名单中同一用户名可记录的最大表项数。
undo password-control per-user blacklist-limit命令用来恢复缺省情况。
【命令】
password-control per-user blacklist-limit max-number
undo password-control per-user blacklist-limit
【缺省情况】
密码管理黑名单中同一用户名可记录的最大表项数为32。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
max-number:密码管理黑名单中同一用户名可记录的最大表项数,取值范围1~4294967295。
【使用指导】
FTP用户和通过VTY或Web方式访问设备的用户登录认证失败后,系统会将其用户名和IP地址加入密码管理的黑名单;通过AUX和USB用户线访问设备的用户登录认证失败后,系统会将其用户名加入密码管理的黑名单。
不同IP地址的用户采用同一个用户名登录时,若登录设备失败,则设备会针对每个IP地址记录黑名单表项。配置密码管理黑名单中同一用户名可记录的最大表项数后,当设备记录的该用户加入密码管理黑名单的表项数超过配置的最大值之后,若该用户采用新的IP地址再次登录认证失败,则该用户名相关的最早一条黑名单记录表项会被删除,新的记录被加入黑名单列表。
【举例】
# 配置密码管理黑名单中同一用户名可记录的最大表项数为100。
<Sysname> system-view
[Sysname] password-control per-user blacklist-limit 100
【相关命令】
· display password-control blacklist
· password-control login-attempt
· reset password-control blacklist
password-control super aging命令用来配置super密码的老化时间。
undo password-control super aging命令用来恢复缺省情况。
【命令】
password-control super aging aging-time
undo password-control super aging
【缺省情况】
密码的老化时间为90天。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
aging-time:super密码的老化时间,取值范围为1~365,单位为天。
【举例】
# 设定super密码的老化时间为10天。
<Sysname> system-view
[Sysname] password-control super aging 10
【相关命令】
· display password-control
· password-control aging
password-control super composition命令用来配置super密码的组合策略。
undo password-control super composition命令用来恢复缺省情况。
【命令】
password-control super composition type-number type-number [ type-length type-length ]
undo password-control super composition
【缺省情况】
(非FIPS模式下)
super密码的最少组合类型为2种,每种类型至少包含1个字符。
(FIPS模式下)
super密码的最少组合类型为4种,每种类型至少包含1个字符。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
type-number type-number:super密码的最少组合类型。其中,type-number表示组合类型,非FIPS模式下,取值范围为1~4;FIPS模式下,取值为4。
type-length type-length:super密码中每种类型的最少字符个数。其中,type-length表示字符个数,非FIPS模式下,取值范围为1~63;FIPS模式下,取值范围为1~15。
【使用指导】
密码元素的最少组合类型数以及每种元素的最小个数的乘积不能大于密码允许的最大长度。
【举例】
# 配置super密码的最少组合类型为4种,每种类型的最少字符个数为5个。
<Sysname> system-view
[Sysname] password-control super composition type-number 4 type-length 5
【相关命令】
· display password-control
· password-control composition
password-control super length命令用来配置super密码的最小长度。
undo password-control super length命令用来恢复缺省情况。
【命令】
password-control super length length
undo password-control super length
【缺省情况】
(非FIPS模式下)
super密码的最小长度为10个字符。
(FIPS模式下)
super密码的最小长度为15个字符。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
length:super密码的最小字符长度,非FIPS模式下,取值范围为4~63;FIPS模式下,取值范围为15~63。
【举例】
# 设定super密码的最小长度为16个字符。
<Sysname> system-view
[Sysname] password-control super length 16
【相关命令】
· display password-control
· password-control length
password-control update-interval命令用来配置密码更新的最小时间间隔。
undo password-control update-interval命令用来恢复缺省情况。
【命令】
password-control update-interval interval
undo password-control update-interval
【缺省情况】
密码更新的最小时间间隔为24小时。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:密码更新的最小时间间隔,取值范围为0~168,单位为小时。0表示对密码更新的时间间隔无限制。
【使用指导】
设备管理类用户有两种情况下的密码更新并不受该功能的约束:用户首次登录设备时系统要求用户修改密码;密码老化后系统要求用户修改密码。
【举例】
# 设定密码更新的最小时间间隔为36小时。
<Sysname> system-view
[Sysname] password-control update-interval 36
【相关命令】
· display password-control
reset password-control blacklist命令用来清除密码管理黑名单中的用户。
【命令】
reset password-control blacklist [ user-name user-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
user-name user-name:清除密码管理黑名单中指定的用户。其中,user-name表示用户名,为1~55个字符的字符串,区分大小写。
【使用指导】
对于因为登录认证时密码尝试的失败次数超过最大值而被禁止登录的用户,管理员可以使用本命令将其从黑名单中删除,使其可以重新登录。
【举例】
# 清除密码管理黑名单中的用户test。
<Sysname> reset password-control blacklist user-name test
Are you sure to delete the specified user in blacklist? [Y/N]:
【相关命令】
· display password-control blacklist
· password-control backlist all-line
reset password-control history-record命令用来清除用户的密码历史记录。
【命令】
reset password-control history-record [ super [ role role-name ] | user-name user-name | network-class [ user-name user-name ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
super:删除super密码的历史记录。
role role-name:删除指定用户角色的用户密码历史记录。其中,role-name表示用户角色,为1~63个字符的字符串,区分大小写。如果不指定此参数,将删除所有super密码的历史记录。
network-class:删除网络接入类本地用户密码的历史记录。如果不指定此参数,将删除设备管理类型的本地用户密码的历史记录。
user-name user-name:删除指定用户名的密码历史记录。其中,user-name表示用户名,为1~55个字符的字符串,区分大小写。如果不指定此参数,将删除所有对应类型的本地用户密码的历史记录。
【使用指导】
如果不指定任何参数,将删除设备管理类所有本地用户的密码历史记录。
【举例】
# 清除所有设备管理类本地用户的密码历史记录。当用户输入Y,系统将删除所有设备管理类本地用户的密码历史记录。
<Sysname> reset password-control history-record
Are you sure you want to delete all device management users' history records? [Y/N]:y
# 清除所有网络接入类本地用户的密码历史记录。当用户输入Y,系统将删除所有网络接入类本地用户的密码历史记录。
<Sysname> reset password-control history-record network-class
Are you sure you want to delete all network access users' history records? [Y/N]:y
【相关命令】
· password-control history
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!