12-Password Control命令
本章节下载: 12-Password Control命令 (374.42 KB)
目 录
1.1.1 display password-control
1.1.2 display password-control blacklist
1.1.3 password-control { composition | history | length } enable
1.1.5 password-control aging enable
1.1.6 password-control alert-before-expire
1.1.7 password-control blacklist all-line
1.1.8 password-control blacklist user-info username-only
1.1.9 password-control change-password first-login enable
1.1.10 password-control change-password weak-password enable
1.1.11 password-control complexity
1.1.12 password-control composition
1.1.13 password-control enable
1.1.14 password-control expired-user-login
1.1.15 password-control force-change-password
1.1.16 password-control history
1.1.17 password-control length
1.1.18 password-control login idle-time
1.1.19 password-control login-attempt
1.1.20 password-control per-user blacklist-limit
1.1.21 password-control super aging
1.1.22 password-control super composition
1.1.23 password-control super length
1.1.24 password-control update-interval
1.1.25 reset password-control blacklist
1.1.26 reset password-control history-record
1.1.27 reset password-control login-record
vSystem支持本特性的所有功能。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
display password-control命令用来显示密码管理的配置信息。
【命令】
display password-control [ super ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
super:显示super密码管理的配置信息。如果不指定该参数,将显示全局密码管理的配置信息。
【举例】
# 显示全局密码管理的配置信息。
<Sysname> display password-control
Global password control configurations:
Password control: Enabled (device management users)
Enabled (network access users)
Password aging: Enabled (90 days device management users)
Enabled (90 days network access users)
Password length: Enabled (10 characters)
Password composition: Enabled (1 types, 1 characters per type)
Password history: Enabled (max history records:4)
Early notice on password expiration: 7 days (device management users)
7 days (network access users)
Maximum login attempts: 3 (device management users)
3 (network access users)
Action for exceeding login attempts: Lock user for 1 minutes (device management User)
Lock user for 1 minutes (network access users)
Autoincrement (max lock time: 3 minutes)
Password history was last reset: 0 days ago (device management users)
0 days ago (network access users)
Minimum interval between two updates: 24 hours
User account idle time: 90 days (device management users)
0 days (network access users)
Logins with aged password: 3 times in 30 days (device management users)
3 times in 30 days (network access users)
Password complexity: Disabled (username checking)
Disabled (repeated characters checking)
Password change: Enabled (device management first login)
Enabled (network access first login)
Enabled (mandatory weak password change)
User information in blacklist: Username and IP (device management users)
Username and IP (network access users)
All line: Disabled (all line blacklist)
# 显示super密码管理的配置信息。
<Sysname> display password-control super
Super password control configurations:
Password aging: Enabled (90 days)
Password length: Enabled (10 characters)
Password composition: Enabled (1 types, 1 characters per type)
表1-1 display password-control命令显示信息描述表
字段 |
描述 |
Global password control configurations |
全局密码管理配置 |
Super password control configurations |
Super密码管理配置 |
Password control |
全局密码管理功能的开启状态(设备管理类和网络接入类) |
Password aging |
设备管理类或网络接入类用户密码老化功能的开启状态(密码的老化时间) |
Password length |
密码最小长度功能的开启状态(密码的最小长度) |
Password composition |
密码组合策略的开启状态(密码元素的组合类型、至少要包含每种元素的个数) |
Password history |
密码历史记录功能的开启状态(密码历史记录的最大条数) |
Early notice on password expiration |
设备管理类或网络接入类用户密码过期前的提醒时间 |
Maximum login attempts |
设备管理类或网络接入类用户最大登录尝试次数 |
Action for exceeding login attempts |
设备管理类或网络接入类用户登录尝试次数达到设定次数后的用户账户锁定行为,取值包括: · Lock:永久锁定 · Lock user for x minutes:锁定x分钟。Autoincrement表示用户锁定时间老化后,下一次登录失败达到最大次数后锁定时间会自动递增;max lock time表示锁定的最大时长 · Unlock:不锁定 |
Password history was last reset |
上一次清除设备管理类或网络接入类用户的密码历史记录的时间 |
Minimum interval between two updates |
密码更新的最小时间间隔 |
User account idle time |
设备管理类或网络接入类用户账号的闲置时间 |
Logins with aged password |
设备管理类或网络接入类用户密码过期后允许用户登录的次数和时间 |
Password complexity |
密码复杂度检查功能(用户名检查、连续字符检查)的开启状态 |
Password change |
修改密码功能的状态: · Enabled (device management first login):开启设备管理类用户首次登录修改密码功能 · Disabled (device management first login):关闭设备管理类用户首次登录修改密码功能 · Enabled (network access first login):开启网络接入类用户首次登录修改密码功能 · Disabled (network access first login):关闭网络接入类用户首次登录修改密码功能 · Enabled (mandatory weak password change):开启弱密码登录强制改密功能 · Disabled (mandatory weak password change):关闭弱密码登录强制改密功能 |
User information in blacklist |
设备管理类或网络接入类认证失败用户加入到密码管理黑名单中的用户信息: · Username-only:仅包括用户名 · Username and IP:包括用户名和IP地址 |
All line |
全用户线登录用户黑名单功能的状态: · Enabled (all line blacklist):开启全用户线登录用户黑名单功能 · Disabled (all line blacklist):关闭全用户线登录用户黑名单功能 |
display password-control blacklist命令用来显示用户认证失败后,被加入密码管理黑名单中的用户信息。
【命令】
display password-control [ network-class ] blacklist [ user-name user-name | ip ipv4-address | ipv6 ipv6-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
network-class:表示显示网络接入类用户密码管理黑名单中的用户信息。如果未指定本参数,则显示设备管理类用户密码管理黑名单中的用户信息。
user-name user-name:显示密码管理黑名单中指定用户名的用户信息。其中,user-name表示用户名,为1~55个字符的字符串,用户名格式可以为“纯用户名”或“纯用户名@域名”,其中纯用户名区分大小写,域名不区分大小写。
ip ipv4-address:显示密码管理黑名单中指定IPv4地址的用户信息。
ipv6 ipv6-address:显示密码管理黑名单中指定IPv6地址的用户信息。
【使用指导】
通过Console口连接到设备的用户,在认证失败后,只有其用户名会被加入密码管理的黑名单。网络接入类用户、FTP用户和通过VTY或Web方式访问设备的用户在认证失败后,其IP地址和用户名会被加入密码管理的黑名单。黑名单的具体显示内容由password-control blacklist user-info username-only命令的配置情况决定。
如果选择加入黑名单的记录方式为用户名和IP地址,不同IP地址的用户采用同一个用户名登录时,若登录设备失败,则设备会针对每个IP地址记录黑名单表项。当设备记录的该用户加入密码管理黑名单的表项数超过配置的最大值之后,若该用户采用新的IP地址再次登录认证失败,则该用户名相关的最早一条黑名单记录表项会被删除,新的记录被加入黑名单列表。
【举例】
# 显示用户认证失败后,被加入密码管理黑名单中的设备管理类用户的用户信息。
<Sysname> display password-control blacklist
Per-user blacklist limit: 100.
Blacklist items matched: 2.
Username IP address Login failures Lock flag
zzz - 3 lock
abcd 169::168:34:1 4 lock
admin 192.168.34.1 1 unlock
表1-2 display password-control blacklist命令显示信息描述表
字段 |
描述 |
Per-user blacklist limit |
同一用户名可记录的最大黑名单表项数 |
Blacklist items matched |
匹配的黑名单表项数目 |
Username |
用户名 |
IP address |
用户的IP地址 |
Login failures |
用户登录失败的次数 |
Lock flag |
该用户是否被锁定 · unlock:表示未锁定,允许用户再次尝试登录 · lock:表示锁定,暂时或永久禁止用户尝试登录(具体由password-control login-attempt命令的配置情况决定) |
password-control { composition | history | length } enable命令用来使能指定的密码管理功能。
undo password-control { composition | history | length } enable命令用来关闭指定的密码管理功能。
【命令】
password-control { composition | history | length } enable
undo password-control { composition | history | length } enable
【缺省情况】
各密码管理功能均处于使能状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
composition:使能密码的组合检测管理功能。
history:使能密码历史记录检测管理功能。
length:使能密码最小长度管理功能。
【使用指导】
密码历史记录检测管理功能的生效,首先必须保证全局密码管理功能处于使能状态,其次要保证密码历史记录检测管理功能处于使能状态。
密码的组合检测管理功能和密码最小长度管理功能默认开启且不依赖于全局密码管理功能是否开启。缺省情况下,密码的最小长度为4个字符,且至少要有四个字符不同。
若配置设备管理类本地用户密码使用HASH方式设置,即使开启了全局和指定密码管理功能,也不会对其密码的长度、组合策略和复杂度进行检查,也不和所有记录的历史密码以及当前密码比较。设备管理类本地用户密码的具体配置方式,请参见“安全命令参考”中的“AAA”。
密码历史记录检测管理功能关闭后,系统将不再检测新密码是否与所有历史密码不同,但历史密码记录功能不会关闭,当记录的某用户的历史密码条数达到password-control history max-record-number命令设置的最大值后,该用户的后续新密码历史记录将覆盖最老的一条密码历史记录。
【举例】
# 使能全局密码管理功能。
<Sysname> system-view
[Sysname] password-control enable
# 使能密码组合检测管理功能。
[Sysname] password-control composition enable
# 使能密码最小长度功能。
[Sysname] password-control length enable
# 使能密码历史记录功能。
[Sysname] password-control history enable
【相关命令】
· display password-control
· password-control enable
password-control aging命令用来配置密码的老化时间。
undo password-control aging命令用来恢复缺省情况。
【命令】
password-control [ network-class ] aging aging-time
undo password-control [ network-class ] aging
【缺省情况】
全局的密码老化时间为90天;用户组的密码老化时间为全局配置的密码老化时间;本地用户的密码老化时间为所属用户组的密码老化时间。
【视图】
系统视图
用户组视图
本地用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
network-class:表示配置网络接入类用户密码老化时间。如果未指定本参数,则表示配置设备管理类用户的密码老化时间。
aging-time:密码的老化时间,取值范围为1~365,单位为天。
【使用指导】
系统视图下配置具有全局性,对所有用户组有效,用户组视图下的配置对用户组内所有本地用户有效,本地用户视图下的配置只对当前本地用户有效。
该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即,系统优先采用本地用户视图下的非缺省配置,若本地用户视图下为缺省配置,则采用用户组视图下的非缺省配置,若用户组视图下也为缺省配置,则采用全局视图下的配置。
【举例】
# 配置设备管理类用户全局的密码老化时间为80天。
<Sysname> system-view
[Sysname] password-control aging 80
# 配置网络接入类用户全局的密码老化时间为80天。
<Sysname> system-view
[Sysname] password-control network-class aging 80
# 配置用户组test下设备管理类用户的密码老化时间为90天。
[Sysname] user-group test
[Sysname-ugroup-test] password-control aging 90
[Sysname-ugroup-test] quit
# 配置用户组test下网络接入类用户的密码老化时间为90天。
[Sysname] user-group test
[Sysname-ugroup-test] password-control network-class aging 90
[Sysname-ugroup-test] quit
# 配置设备管理类本地用户abc的密码老化时间为100天。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] password-control aging 100
# 配置网络接入类本地用户abc的密码老化时间为100天。
[Sysname] local-user abc class network
[Sysname-luser-manage-abc] password-control network-class aging 100
【相关命令】
· display local-user(安全命令参考/AAA)
· display password-control
· display user-group(安全命令参考/AAA)
· password-control aging enable
password-control aging enable命令用来使能密码老化管理功能。
undo password-control aging enable命令用来关闭密码老化管理功能。
【命令】
password-control [ network-class ] aging enable
undo password-control [ network-class ] aging enable
【缺省情况】
密码老化管理功能处于使能状态。
【视图】
系统视图
用户组视图
本地用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
network-class:表示开启网络接入类用户密码老化功能。如果未指定本参数,则表示开启设备管理类用户的密码老化功能。
【使用指导】
密码老化管理功能的生效,首先必须保证全局密码管理功能处于使能状态,其次要保证系统视图、用户组视图以及本地用户视图的密码老化管理功能均处于使能状态。
系统视图下配置具有全局性,对所有用户组有效,用户组视图下的配置对用户组内所有本地用户有效,本地用户视图下的配置只对当前本地用户有效。
该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即,系统优先采用本地用户视图下的非缺省配置,若本地用户视图下为缺省配置,则采用用户组视图下的非缺省配置,若用户组视图下也为缺省配置,则采用全局视图下的配置。
【举例】
# 关闭设备管理类用户全局的密码老化管理功能。
<Sysname> system-view
[Sysname] undo password-control aging enable
# 关闭网络接入类用户全局的密码老化管理功能。
<Sysname> system-view
[Sysname] undo password-control network-class aging enable
# 关闭用户组test下设备管理类用户的密码老化管理功能。
[Sysname] user-group test
[Sysname-ugroup-test] undo password-control aging enable
[Sysname-ugroup-test] quit
# 关闭用户组test下网络接入类用户的密码老化管理功能。
[Sysname] user-group test
[Sysname-ugroup-test] undo password-control network-class aging enable
[Sysname-ugroup-test] quit
# 关闭设备管理类本地用户abc的密码老化管理功能。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] undo password-control aging enable
# 关闭网络接入类本地用户abc的密码老化管理功能。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] undo password-control network-class aging enable
【相关命令】
· display password-control
· password-control enable
password-control alert-before-expire命令用来配置密码过期前的提醒时间。
undo password-control alert-before-expire命令用来恢复缺省情况。
【命令】
password-control [ network-class ] alert-before-expire alert-time
undo password-control [ network-class ] alert-before-expire
【缺省情况】
密码过期前的提醒时间为7天,表示在密码过期之前7天内,系统会在用户登录时提醒其密码即将过期。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
network-class:表示配置网络接入类用户密码过期前的提醒时间。如果未指定本参数,则表示配置设备管理类用户密码过期前的提醒时间。
alert-time:密码过期前的提醒时间,取值范围为1~30,单位为天。
【使用指导】
不允许FTP用户更改密码,只能由管理员修改FTP用户的密码,因此本命令配置的过期提醒时间仅对非FTP类型的用户有效。
【举例】
# 设定设备管理类用户密码过期前的提醒时间为10天。
<Sysname> system-view
[Sysname] password-control alert-before-expire 10
# 设定网络接入类用户密码过期前的提醒时间为10天。
<Sysname> system-view
[Sysname] password-control network-class alert-before-expire 10
【相关命令】
· display password-control
password-control blacklist all-line命令用来开启全用户线登录用户的黑名单功能。
undo password-control blacklist all-line命令用来关闭全用户线登录用户的黑名单功能。
【命令】
password-control blacklist all-line
undo password-control blacklist all-line
【缺省情况】
全用户线登录用户的黑名单功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
缺省情况下,开启全局密码管理功能后,设备仅对通过FTP用户和通过VTY或Web方式访问设备的用户开启黑名单功能。如果要对全部用户线(Console、AUX、TTY、VTY以及USB用户线)登录的用户启用黑名单功能,则还需要开启全用户线登录用户的黑名单功能。有关用户线的详细介绍请参见“基础配置指导”中的“配置通过CLI登录设备”。
开启全用户线登录用户的黑名单功能后,对于通过Console、AUX、TTY以及USB用户线登录的所有用户,只要用户名一致,他们的错误次数就会累加,达到指定数值后,该用户会被加入黑名单,并被执行相应的处理措施。
可通过password-control login-attempt命令来配置允许用户登录的最大尝试次数以及登录尝试失败后的处理措施。
【举例】
# 开启全用户线登录用户的黑名单功能。
<Sysname> system-view
[Sysname] password-control blacklist all-line
【相关命令】
· display password-control
· display password-control blacklist
· password-control enable
· password-control login-attempt
password-control blacklist user-info username-only命令用来配置认证失败用户加入到密码管理黑名单中的用户信息仅包括用户名。
undo password-control blacklist user-info命令用来恢复缺省情况。
【命令】
password-control [ network-class ] blacklist user-info username-only
undo password-control [ network-class ] blacklist user-info
【缺省情况】
认证失败用户加入到密码管理黑名单中的用户信息包括用户名和IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数解释】
network-class:表示配置网络接入类认证失败用户加入到密码管理黑名单中的用户信息仅包括用户名。如果未指定本参数,则表示配置设备管理类认证失败用户加入到密码管理黑名单中的用户信息仅包括用户名。
【使用指导】
认证失败用户加入密码管理黑名单的策略发生变化时,会清除密码管理黑名单中的所有用户信息并重新开始记录。
【举例】
# 配置设备管理类认证失败用户加入到密码管理黑名单中的用户信息仅包括用户名。
<Sysname> system-view
[Sysname] password-control blacklist user-info username-only
# 配置网络接入类认证失败用户加入到密码管理黑名单中的用户信息仅包括用户名。
<Sysname> system-view
[Sysname] password-control network-class blacklist user-info username-only
【相关命令】
· display password-control
· display password-control blacklist
· reset password-control blacklist
password-control change-password first-login enable命令用来开启首次登录修改密码功能。
undo password-control change-password first-login enable命令用来关闭首次登录修改密码功能。
【命令】
password-control [ network-class ] change-password first-login enable
undo password-control [ network-class ] change-password first-login enable
【缺省情况】
设备管理类用户首次登录设备时修改密码功能处于开启状态。
网络接入类用户首次登录设备时修改密码功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
network-class:表示开启网络接入类用户首次登录修改密码功能。如果未指定本参数,则表示仅开启设备管理类用户首次登录修改密码功能。
【使用指导】
对于设备管理类和网络接入类用户,本功能只有在开启全局密码管理功能的情况下才能生效。
网络接入类用户首次登录修改密码功能仅对SSL VPN接入用户生效。
【举例】
# 开启首次登录修改密码功能。
<Sysname> system-view
[Sysname] password-control change-password first-login enable
【相关命令】
· display password-control
· password-control enable
password-control change-password weak-password enable命令用来开启弱密码登录修改密码功能。
undo password-control change-password weak-password enable命令用来关闭弱密码登录修改密码功能。
【命令】
password-control change-password weak-password enable
undo password-control change-password weak-password enable
【缺省情况】
弱密码登录修改密码功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
通过Telnet、SSH、HTTP、HTTPS方式登录的设备管理类用户,输入登录密码时,系统会根据当前设定的Password control密码组合检测策略、密码最小长度限制以及密码复杂度检查策略对用户的登录密码进行检查,若不符合以上密码检查策略要求,则视为弱密码。
弱密码登录修改密码功能默认关闭。用户使用弱密码登录设备时,系统会打印提示信息,但不会强制用户修改密码,即使用弱密码也可以登录设备。为了提高设备使用的安全性,通过配置本命令,可禁止Telnet、SSH、HTTP、HTTPS方式登录的设备管理类用户使用弱密码登录。设备会要求弱密码登录用户修改密码,直到密码组合策略、密码长度以及密码复杂度检查策略的设定符合设备要求。
可以通过display password-control命令查看当前密码设置要求,并可通过password-control composition、password-control length和password-control complexity命令修改密码组合策略、密码长度和密码复杂度检查策略的配置。
【举例】
# 在系统视图下,开启弱密码登录修改密码功能。
<Sysname> system-view
[Sysname] password-control change-password weak-password enable
【相关命令】
· display password-control
· password-control { aging | composition | history | length } enable
· password-control complexity
· password-control composition
· password-control length
· password-control enable
password-control complexity命令用来配置用户密码的复杂度检查策略。
undo password-control complexity命令用来取消指定的密码复杂度检查策略。
【命令】
password-control complexity { same-character | user-name } check
undo password-control complexity { same-character | user-name } check
【缺省情况】
全局的密码复杂度检查策略为:对用户密码进行复杂度检查,不允许密码中包含用户名或倒序的用户名,也不允许密码或倒序的密码为用户名的一部分,但允许包含连续三个或以上的相同字符;用户组的密码复杂度检查策略为全局的密码复杂度检查策略;本地用户的密码复杂度检查策略为所属用户组的密码复杂度检查策略。
【视图】
系统视图
用户组视图
本地用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
same-character:指定检查密码中是否包含连续三个或以上相同的字符。例如,密码aaabc就不符合该项复杂度检查。
user-name:指定检查密码中是否包含用户名或倒序的用户名,且密码或倒序的密码是否为用户名的一部分。例如,用户名为123,则密码abc123、321df不符合该项复杂度检查;用户名为12345,密码为123也不符合该项复杂度检查。
【使用指导】
系统视图下配置具有全局性,对所有用户组有效,用户组视图下的配置对用户组内所有本地用户有效,本地用户视图下的配置只对当前本地用户有效。
该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即,系统优先采用本地用户视图下的非缺省配置,若本地用户视图下为缺省配置,则采用用户组视图下的非缺省配置,若用户组视图下也为缺省配置,则采用全局视图下的配置。
指定检查密码中是否包含用户名或者字符顺序颠倒的用户名功能不依赖于全局密码管理功能是否开启。
可以通过多次执行本命令同时打开用户名检查以及连续字符检查功能。
【举例】
# 配置密码复杂度检测策略为,检查配置的密码中是否包含用户名或倒序的用户名,且密码或倒序的密码是否为用户名的一部分。
<Sysname> system-view
[Sysname] password-control complexity user-name check
【相关命令】
· display local-user(安全命令参考/AAA)
· display password-control
· display user-group(安全命令参考/AAA)
password-control composition命令用来配置用户密码的组合策略。
undo password-control composition命令用来恢复缺省情况。
【命令】
password-control composition type-number type-number [ type-length type-length ]
undo password-control composition
【缺省情况】
全局的密码元素的最少组合类型为2种,至少要包含每种元素的个数为1种; 用户组的密码组合策略为全局配置的密码组合策略;本地用户的密码组合策略为所属用户组的密码组合策略。
【视图】
系统视图
用户组视图
本地用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
type-number type-number:密码元素的最少组合类型。其中,type-number表示组合类型的个数,取值范围为1~4 。
type-length type-length:密码中至少要包含每种元素的个数。其中,type-length表示元素个数,取值范围为1~63 。
【使用指导】
系统视图下配置具有全局性,对所有用户组有效,用户组视图下的配置对用户组内所有本地用户有效,本地用户视图下的配置只对当前本地用户有效。
该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即,系统优先采用本地用户视图下的非缺省配置,若本地用户视图下为缺省配置,则采用用户组视图下的非缺省配置,若用户组视图下也为缺省配置,则采用全局视图下的配置。
密码元素的最少组合类型数以及每种元素的最小个数的乘积不能大于允许的最大密码长度。
【举例】
# 配置全局的密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
<Sysname> system-view
[Sysname] password-control composition type-number 4 type-length 5
# 配置用户组test的密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
[Sysname] user-group test
[Sysname-ugroup-test] password-control composition type-number 4 type-length 5
[Sysname-ugroup-test] quit
# 配置设备管理类本地用户abc的密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] password-control composition type-number 4 type-length 5
【相关命令】
· display local-user(安全命令参考/AAA)
· display password-control
· display user-group(安全命令参考/AAA)
· password-control composition enable
password-control enable命令用来开启全局密码管理功能。
undo password-control enable命令用来关闭全局密码管理功能。
【命令】
password-control enable [ network-class ]
undo password-control enable [ network-class ]
【缺省情况】
设备管理类本地用户和网络接入类本地用户全局密码管理功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
network-class:开启网络接入类本地用户全局密码管理功能。若不指定此参数,表示开启设备管理类本地用户的全局密码管理功能。
【使用指导】
开启全局密码管理功能后,设备自动生成后缀名为“dat”的文件并保存于存储介质中用于记录本地用户的认证、登录信息。请不要手工删除或修改该文件。
设备管理类本地用户支持所有的密码管理功能。
网络接入类本地用户支持的密码管理功能仅包括:配置密码的复杂度检查策略、配置密码的组合策略、配置密码最小长度、配置密码更新的最小时间间隔、配置每个用户密码历史记录的最大条数。
对于设备管理类本地用户,除密码的组合检测管理功能、密码最小长度管理功能以及密码复杂度检查策略中的用户名检查功能不依赖于全局密码管理功能是否开启外,其它指定的密码管理功能只有在使能了全局密码管理功能的情况下才能生效。
对于网络接入类本地用户,支持的密码管理功能只有在使能了全局密码管理功能的情况下才能生效。
开启全局密码管理功能后,设置的本地用户密码必须至少由四个不同的字符组成。
开启设备管理类本地用户全局密码管理功能后,设备管理类本地用户密码以及super密码的配置将不被显示,即无法通过相应的display命令查看到设备管理类本地用户密码以及super密码的配置。开启网络接入类本地用户全局密码管理功能后,网络接入类本地用户密码配置将不被显示,即无法通过相应的display命令查看到网络接入类本地用户密码配置。
【举例】
# 开启设备管理类本地用户的全局密码管理功能。
<Sysname> system-view
[Sysname] password-control enable
# 开启网络接入类本地用户的全局密码管理功能。
<Sysname> system-view
[Sysname] password-control enable network-class
【相关命令】
· display password-control
· password-control complexity
· password-control { aging | composition | history | length } enable
· password-control update-interval
password-control expired-user-login命令用来配置密码过期后允许用户登录的时间和次数。
undo password-control expired-user-login命令用来恢复缺省情况。
【命令】
password-control [ network-class ] expired-user-login delay delay times times
undo password-control [ network-class ] expired-user-login
【缺省情况】
密码过期后允许登录的时间为30天,允许登录的次数为3次,即密码过期后系统还允许用户在30天内使用老密码登录3次,超过30天或登录次数超过3次后,系统提示用户设置新密码。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
network-class:表示配置网络接入类用户密码过期后允许用户登录的时间和次数。如果未指定本参数,则表示配置设备管理类用户密码过期后允许用户登录的时间和次数。
delay delay:密码过期后允许用户登录的时长,取值范围为1~90,单位为天。
times times:密码过期后允许用户登录的最大次数,取值范围为0~10。0表示密码过期后系统直接提示用户设置新密码。
【使用指导】
该配置仅对非FTP类型的用户生效。对于FTP用户,密码过期后,系统不允许其继续登录。
【举例】
# 设定允许设备管理类用户在密码过期之后的60天内登录5次。
<Sysname> system-view
[Sysname] password-control expired-user-login delay 60 times 5
# 设定允许网络接入类用户在密码过期之后的60天内登录5次。
<Sysname> system-view
[Sysname] password-control network-class expired-user-login delay 60 times 5
【相关命令】
· display password-control
password-control force-change-password命令用来强制用户在登录时修改密码。
【命令】
password-control force-change-password { manage-class | network-class } { all | user user-name }
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
manage-class:强制设备管理类本地用户在登录时修改密码。
network-class:强制网络接入类本地用户在登录时修改密码。
all:强制所有类型的本地用户在登录时修改密码。
user user-name:强制指定用户在登录时修改密码。其中,user-name表示用户名,为1~55个字符的字符串,用户名格式可以为“纯用户名”或“纯用户名@域名”,其中纯用户名区分大小写,域名不区分大小写。
【使用指导】
管理员通过配置password-control change-password first-login enable命令开启首次登录修改密码功能来实现密码更换后,用户首次登录时必须修改密码,后续再次登录时无需修改密码。如果想要进一步提高登录设备安全性,要求用户在非首次登录时也需要修改密码,则可以配置本功能。
配置本功能后,当用户登录时,系统直接提示用户修改密码。密码修改成功后则直接登录成功,否则登录失败。
配置本功能不会影响当前已登录成功用户的在线状态,但用户下线后再次登录时需要修改密码。
本命令属于一次性操作命令,配置后仅生效一次。如果希望用户再次登录时仍需要修改密码,则请重新配置。
对于设备管理类和网络接入类本地用户,本功能只有在使能了全局密码管理功能的情况下才能生效。
对于网络接入类用户,本功能仅对SSL VPN用户生效。
【举例】
# 设置所有设备管理类本地用户登录时强制修改密码
<Sysname> password-control force-change-password manage-class all
Are you sure you want to force all users to change passwords? [Y/N]:y
# 设置某个网络接入类本地用户登录时强制修改密码
<Sysname> password-control force-change-password network-class user test
Are you sure you want to force specified user to change password? [Y/N]:y
【相关命令】
· password-control enable
password-control history命令用来配置每个用户密码历史记录的最大条数。
undo password-control history命令用来恢复缺省情况。
【命令】
password-control history max-record-number
undo password-control history
【缺省情况】
每个用户密码历史记录的最大条数为4条。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
max-record-number:每个用户密码历史记录的最大条数,取值范围为2~15。
【使用指导】
开启全局密码管理功能后,系统会持续记录历史密码。当记录的某用户的历史密码条数达到最大值后,该用户的后续新密码历史记录将覆盖最老的一条密码历史记录。
只有当关闭全局密码管理功能(undo password-control enable)或手动清除历史密码记录时(reset password-control history-record),历史密码记录才会被清除掉。
【举例】
# 配置每个用户密码历史记录的最大条数为10条。
<Sysname> system-view
[Sysname] password-control history 10
【相关命令】
· display password-control
· password-control history enable
· reset password-control blacklist
password-control length命令用来配置密码的最小长度。
undo password-control length命令用来恢复缺省情况。
【命令】
password-control length length
undo password-control length
【缺省情况】
全局的密码最小长度为10个字符; 用户组的密码最小长度为全局配置的密码最小长度;本地用户的密码最小长度为所属用户组的密码最小长度。
【视图】
系统视图
用户组视图
本地用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
length:密码的最小长度,取值范围为4~32 。
【使用指导】
系统视图下配置具有全局性,对所有用户组有效,用户组视图下的配置对用户组内所有本地用户有效,本地用户视图下的配置只对当前本地用户有效。
该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即,系统优先采用本地用户视图下的非缺省配置,若本地用户视图下为缺省配置,则采用用户组视图下的非缺省配置,若用户组视图下也为缺省配置,则采用全局视图下的配置。
【举例】
# 配置全局的密码最小长度为16个字符。
<Sysname> system-view
[Sysname] password-control length 16
# 配置用户组test的密码最小长度为16个字符。
[Sysname] user-group test
[Sysname-ugroup-test] password-control length 16
[Sysname-ugroup-test] quit
# 配置设备管理类本地用户abc的密码最小长度为16个字符。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] password-control length 16
【相关命令】
· display local-user(安全命令参考/AAA)
· display password-control
· display user-group(安全命令参考/AAA)
· password-control length enable
password-control login idle-time命令用来配置用户账号的闲置时间。
undo password-control login idle-time命令用来恢复缺省情况。
【命令】
password-control [ network-class ] login idle-time idle-time
undo password-control [ network-class ] login idle-time
【缺省情况】
全局的设备管理类用户账号的闲置时间为90天;全局的网络接入类用户账号的闲置时间无限制。用户组的用户账号闲置时间为全局配置的用户账号闲置时间;本地用户的用户账号闲置时间为所属用户组的用户账号闲置时间。
【视图】
系统视图
用户组视图
设备管理类本地用户视图
网络接入类本地用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
network-class:表示配置网络接入类用户账号的闲置时间。如果未指定本参数,则表示配置的是设备管理类用户账号的闲置时间。
idle-time:用户账号的闲置时间,取值范围为0~365,单位为天。0表示对用户账号闲置时间无限制。
【使用指导】
用户已闲置时间=当前系统时间-用户最后一次成功登录时间。
如果用户自最后一次成功登录后,在指定的闲置时间内再未成功登录过设备,那么该用户账号将会失效。账号失效后,用户将无法正常登录设备。通过reset password-control login-record命令清除用户的登录记录后,用户可以重新使用该账号登录设备。
用户最后一次登录设备成功后,若系统时间变化,也可能导致用户账号失效。
账号失效后,用户将无法正常登录设备。若不需要账号闲置时间检查功能,可将idle-time配置为0,表示Password Control功能对用户账号闲置时间无限制。
系统视图下配置具有全局性,对所有用户组有效,用户组视图下的配置对用户组内所有本地用户有效,本地用户视图下的配置只对当前本地用户有效。
该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即,系统优先采用本地用户视图下的非缺省配置,若本地用户视图下为缺省配置,则采用用户组视图下的非缺省配置,若用户组视图下也为缺省配置,则采用全局视图下的配置。
设备管理类本地用户视图下不支持network-class参数,网络接入类本地用户视图下network-class参数必选。
配置的网络接入类用户账号的闲置时间仅对SSL VPN接入用户生效。
【举例】
# 设定用户账号的闲置时间为30天,表示自最后一次成功登录后,若用户在30天内再未成功登录过设备,那么该用户账号将会失效。
<Sysname> system-view
[Sysname] password-control login idle-time 30
# 配置用户组test的用户账号的闲置时间为30天。
[Sysname] user-group test
[Sysname-ugroup-test] password-control login idle-time 30
[Sysname-ugroup-test] quit
# 配置设备管理类本地用户abc的用户账号的闲置时间为30天。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] password-control login idle-time 30
【相关命令】
· display local-user(安全命令参考/AAA)
· display password-control
· display user-group(安全命令参考/AAA)
· reset password-control login-record
password-control login-attempt命令用来配置允许用户登录的最大尝试次数以及登录尝试失败后的处理措施。
undo password-control login-attempt命令用来恢复缺省情况。
【命令】
password-control [ network-class ] login-attempt login-times [ exceed { lock | lock-time time [ autoincrement max-lock-time ] | unlock } ]
undo password-control [ network-class ] login-attempt
【缺省情况】
全局的用户登录尝试次数限制策略为:用户登录尝试的最大次数为3次。如果某用户登录尝试失败,则1分钟后再允许该用户重新登录;用户组的用户登录尝试次数限制策略为全局配置的用户登录尝试次数限制策略;本地用户的登录尝试次数限制策略为所属用户组的用户登录尝试次数限制策略。
【视图】
系统视图
用户组视图
本地用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
network-class:表示配置允许网络接入类用户登录的最大尝试次数以及登录尝试失败后的处理措施。如果未指定本参数,则表示配置允许设备管理类用户登录的最大尝试次数以及登录尝试失败后的处理措施。
login-times:用户登录尝试的最大次数,取值范围为2~10。
exceed:对登录尝试失败次数超过最大值的用户所采取的处理措施。
lock:对于网络接入类用户、FTP用户和通过VTY或Web方式访问设备的用户,表示永久禁止该用户通过登录失败IP地址登录;对于通过Console、AUX、TTY以及USB用户线访问设备的用户,表示永久禁止该用户通过Console、AUX、TTY以及USB用户线登录。
lock-time time:对于网络接入类用户、FTP用户和通过VTY或Web方式访问设备的用户,表示禁止该用户通过登录失败IP地址登录,经过一段时间后,再允许该用户重新登录;对于通过Console、AUX、TTY以及USB用户线的用户,表示禁止该用户通过Console、AUX、TTY以及USB用户线登录,经过一段时间后,再允许该用户重新登录。其中,time为禁止该用户的时间,取值范围为1~360,单位为分钟。
autoincrement max-lock-time:表示用户锁定时间老化后,下一次登录失败达到最大次数后锁定时间会自动累加。max-lock-time表示累加后的最大锁定时间,取值范围为time~360,单位为分钟。比如,设置lock-time为x,max-lock-time为y,则第一轮登录失败达到最大次数后将被锁定x分钟,后续第n次登录失败达到最大次数后将被锁定n*x分钟。如果n*x大于y,则登录失败达到最大次数后的锁定时间并不会递增,后续取值始终为y。
unlock:对于网络接入类用户、FTP用户和通过VTY或Web方式访问设备的用户,表示不禁止该用户,允许其继续通过现有IP地址登录;对于通过Console、AUX、TTY以及USB用户线的用户,表示不禁止该用户,允许其继续通过Console、AUX、TTY以及USB用户线登录。
【使用指导】
系统视图下配置具有全局性,对所有用户组有效,用户组视图下的配置对用户组内所有本地用户有效,本地用户视图下的配置只对当前本地用户有效。
该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即,系统优先采用本地用户视图下的非缺省配置,若本地用户视图下为缺省配置,则采用用户组视图下的非缺省配置,若用户组视图下也为缺省配置,则采用全局视图下的配置。
网络接入类用户、FTP用户和通过Web或VTY方式访问设备的用户登录认证失败后,系统会将其用户名和IP地址加入密码管理的黑名单;通过Console、AUX、TTY以及USB用户线访问设备的用户登录认证失败后,系统会将其用户名加入密码管理的黑名单。当登录失败次数超过指定值后,系统将会根据此处配置的处理措施对其之后的登录行为进行相应的限制,并且该用户只能在满足相应的条件后才可重新登录:
· 对于被永久禁止登录的用户,只有管理员使用reset password-control blacklist命令把该用户从密码管理的黑名单中删除后,该用户才能重新登录。
· 对于被禁止一段时间内登录的用户,当配置的禁止时间超时或者管理员使用reset password-control blacklist命令将其从密码管理的黑名单中删除,该用户才可以重新登录。
· 对于不禁止登录的用户,只要用户登录成功后,该用户就会从该黑名单中删除。
本命令生效后,会立即影响密码管理黑名单中当前用户的锁定状态以及这些用户后续的登录。
【举例】
# 管理员设定设备管理类用户登录尝试次数为4次,并且永久禁止该用户通过现有IP地址登录。
<Sysname> system-view
[Sysname] password-control login-attempt 4 exceed lock
之后,若有设备管理类用户连续尝试认证的失败累加次数达到4次,管理员可通过命令查看到被加入密码管理黑名单中的设备管理类用户锁定状态由之前的unlock切换为lock,且该用户无法再次通过现有IP地址成功登录。
[Sysname] display password-control blacklist
Per-user blacklist limit: 100.
Blacklist items matched: 1.
Username IP address Login failures Lock flag
test 192.168.44.1 4 lock
# 管理员设定设备管理类用户登录尝试次数为2次,并且限制该用户在3分钟后才能重新登录。
<Sysname> system-view
[Sysname] password-control login-attempt 2 exceed lock-time 3
之后,若有设备管理类用户连续尝试认证的失败累加次数达到2次,管理员可通过命令查看到被加入密码管理黑名单中的设备管理类用户锁定状态由之前的unlock切换为lock。
[Sysname] display password-control blacklist
Per-user blacklist limit: 100.
Blacklist items matched: 1.
Username IP address Login failures Lock flag
test 192.168.44.1 2 lock
若设备管理类用户被禁止通过现有的IP地址登录,经过3分钟后,将被从密码管理黑名单中删除,且可以重新登录。
# 管理员设定网络接入类用户登录尝试次数为4次,并且永久禁止该用户通过现有IP地址登录。
<Sysname> system-view
[Sysname] password-control network-class login-attempt 4 exceed lock
之后,若有网络接入类用户连续尝试认证的失败累加次数达到4次,管理员可通过命令查看到被加入密码管理黑名单中的网络接入类用户锁定状态由之前的unlock切换为lock,且该用户无法再次通过现有IP地址成功登录。
[Sysname] display password-control network-class blacklist
Per-user blacklist limit: 100.
Blacklist items matched: 1.
Username IP address Login failures Lock flag
test 192.168.44.1 4 lock
【相关命令】
· display local-user(安全命令参考/AAA)
· display password-control
· display password-control blacklist
· display user-group(安全命令参考/AAA)
· password-control backlist all-line
· reset password-control blacklist
password-control per-user blacklist-limit命令用来配置密码管理黑名单中同一用户名可记录的最大表项数。
undo password-control per-user blacklist-limit命令用来恢复缺省情况。
【命令】
password-control [ network-class ] per-user blacklist-limit max-number
undo password-control [ network-class ] per-user blacklist-limit
【缺省情况】
密码管理黑名单中同一用户名可记录的最大表项数是32。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
network-class:表示配置网络接入类用户密码管理黑名单中同一用户名可记录的最大表项数。如果未指定本参数,则表示配置设备管理类用户密码管理黑名单中同一用户名可记录的最大表项数。
max-number:密码管理黑名单中同一用户名可记录的最大表项数,取值范围1~4294967295。
【使用指导】
网络接入类用户、FTP用户和通过VTY或Web方式访问设备的用户登录认证失败后,系统会将其用户名和IP地址加入密码管理的黑名单;通过Console访问设备的用户登录认证失败后,系统会将其用户名加入密码管理的黑名单。
不同IP地址的用户采用同一个用户名登录时,若登录设备失败,则设备会针对每个IP地址记录黑名单表项。配置密码管理黑名单中同一用户名可记录的最大表项数后,当设备记录的该用户加入密码管理黑名单的表项数超过配置的最大值之后,若该用户采用新的IP地址再次登录认证失败,则该用户名相关的最早一条黑名单记录表项会被删除,新的记录被加入黑名单列表。
【举例】
# 配置设备管理类用户密码管理黑名单中同一用户名可记录的最大表项数为100。
<Sysname> system-view
[Sysname] password-control per-user blacklist-limit 100
# 配置网络接入类用户密码管理黑名单中同一用户名可记录的最大表项数为100。
<Sysname> system-view
[Sysname] password-control network-class per-user blacklist-limit 100
【相关命令】
· display password-control blacklist
· password-control login-attempt
· reset password-control blacklist
password-control super aging命令用来配置super密码的老化时间。
undo password-control super aging命令用来恢复缺省情况。
【命令】
password-control super aging aging-time
undo password-control super aging
【缺省情况】
密码的老化时间为90天。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
aging-time:super密码的老化时间,取值范围为1~365,单位为天。
【举例】
# 设定super密码的老化时间为10天。
<Sysname> system-view
[Sysname] password-control super aging 10
【相关命令】
· display password-control
· password-control aging
password-control super composition命令用来配置super密码的组合策略。
undo password-control super composition命令用来恢复缺省情况。
【命令】
password-control super composition type-number type-number [ type-length type-length ]
undo password-control super composition
【缺省情况】
super密码的元素最少组合类型为2种,每种元素至少包含1个字符。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
type-number type-number:super密码的最少组合类型。其中,type-number表示组合类型,取值范围为1~4 。
type-length type-length:super密码中每种类型的最少字符个数。其中,type-length表示字符个数,取值范围为1~63 。
【使用指导】
密码元素的最少组合类型数以及每种元素的最小个数的乘积不能大于密码允许的最大长度。
【举例】
# 配置super密码的最少组合类型为4种,每种类型的最少字符个数为5个。
<Sysname> system-view
[Sysname] password-control super composition type-number 4 type-length 5
【相关命令】
· display password-control
· password-control composition
password-control super length命令用来配置super密码的最小长度。
undo password-control super length命令用来恢复缺省情况。
【命令】
password-control super length length
undo password-control super length
【缺省情况】
super密码的最小长度为10个字符。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
length:super密码的最小字符长度,取值范围为4~63 。
【举例】
# 设定super密码的最小长度为16个字符。
<Sysname> system-view
[Sysname] password-control super length 16
【相关命令】
· display password-control
· password-control length
password-control update-interval命令用来配置密码更新的最小时间间隔。
undo password-control update-interval命令用来恢复缺省情况。
【命令】
password-control update-interval interval
undo password-control update-interval
【缺省情况】
密码更新的最小时间间隔为24小时。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
interval:密码更新的最小时间间隔,取值范围为0~168,单位为小时。0表示对密码更新的时间间隔无限制。
【使用指导】
有两种情况下的密码更新并不受该功能的约束:用户首次登录设备时系统要求用户修改密码;密码老化后系统要求用户修改密码。
【举例】
# 设定密码更新的最小时间间隔为36小时。
<Sysname> system-view
[Sysname] password-control update-interval 36
【相关命令】
· display password-control
reset password-control blacklist命令用来清除密码管理黑名单中的用户。
【命令】
reset password-control [ network-class ] blacklist [ user-name user-name [ ip ipv4-address | ipv6 ipv6-address ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
network-class:清除密码管理黑名单中的网络接入类用户。如果未指定本参数,则清除密码管理黑名单中的设备管理类用户信息。
user-name user-name:清除密码管理黑名单中指定的用户。其中,user-name表示用户名,为1~55个字符的字符串,用户名格式可以为“纯用户名”或“纯用户名@域名”,其中纯用户名区分大小写,域名不区分大小写。
ip ipv4-address:清除密码管理黑名单中指定IPv4地址的用户。
ipv6 ipv6-address:清除密码管理黑名单中指定IPv6地址的用户。
【使用指导】
对于因为登录认证时密码尝试的失败次数超过最大值而被禁止登录的用户,管理员可以使用本命令将其从黑名单中删除,使其可以重新登录。
【举例】
# 清除密码管理黑名单中的设备管理类用户test。
<Sysname> reset password-control blacklist user-name test
Are you sure to delete the specified user in blacklist? [Y/N]:
【相关命令】
· display password-control blacklist
reset password-control history-record命令用来清除用户的密码历史记录。
【命令】
reset password-control history-record [ super [ role role-name ] | user-name user-name | network-class [ user-name user-name ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
super:删除super密码的历史记录。
role role-name:删除指定用户角色的用户密码历史记录。其中,role-name表示用户角色,为1~63个字符的字符串,区分大小写。如果不指定此参数,将删除所有super密码的历史记录。
network-class:删除网络接入类本地用户密码的历史记录。如果不指定此参数,将删除设备管理类型的本地用户密码的历史记录。
user-name user-name:删除指定用户名的密码历史记录。其中,user-name表示用户名,为1~55个字符的字符串,用户名格式可以为“纯用户名”或“纯用户名@域名”,其中纯用户名区分大小写,域名不区分大小写。如果不指定此参数,将删除所有对应类型的本地用户密码的历史记录。
【使用指导】
如果不指定任何参数,将删除所有设备管理类本地用户的密码历史记录。
【举例】
# 清除所有设备管理类本地用户的密码历史记录。当用户输入Y,系统将删除所有设备管理类本地用户的密码历史记录。
<Sysname> reset password-control history-record
Are you sure you want to delete all device management users' history records? [Y/N]:y
# 清除所有网络接入类本地用户的密码历史记录。当用户输入Y,系统将删除所有网络接入类本地用户的密码历史记录。
<Sysname> reset password-control history-record network-class
Are you sure you want to delete all network access users' history records? [Y/N]:y
【相关命令】
· password-control history
reset password-control login-record命令用来清除用户的登录记录。
【命令】
reset password-control login-record [ network-class ][ user-name user-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
network-class:删除网络接入类本地用户的登录记录。如果未指定本参数,将仅删除设备管理类本地用户的登录记录。
user-name user-name:删除指定用户名的登录记录。其中,user-name表示用户名,为1~55个字符的字符串,用户名格式可以为“纯用户名”或“纯用户名@域名”,其中纯用户名区分大小写,域名不区分大小写。如果不指定此参数,将删除所有对应类型的本地用户的登录记录。
【使用指导】
如果不指定任何参数,将删除所有设备管理类本地用户的登录记录。
删除用户的登录记录后,因闲置时间超时被禁止登录的用户可重新尝试登录。
【举例】
# 清除所有设备管理类本地用户的登录记录。当用户输入Y,系统将删除所有设备管理类本地用户的登录记录。
<Sysname> reset password-control login-record
Are you sure you want to delete all device management users' login records? [Y/N]:y
# 清除所有网络接入类本地用户的登录记录。当用户输入Y,系统将删除所有网络接入类本地用户的登录记录。
<Sysname> reset password-control login-record network-class
Are you sure you want to delete all network access users' login records? [Y/N]:y
【相关命令】
· password-control login idle-time
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!