- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-Password Control配置
本章節下載: 08-Password Control配置 (217.43 KB)
設備運行於FIPS模式時,本特性部分配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
Password Control(密碼管理)是設備提供的密碼安全管理功能,它根據管理員定義的安全策略,對設備管理類的本地用戶登錄密碼、super密碼的設置、老化、更新等方麵進行管理,並對用戶的登錄狀態進行控製。
· 本地用戶包括兩種類型,設備管理類(manage)和網絡接入類(network)。Password Control功能僅對設備管理類本地用戶的登錄密碼進行控製,對網絡接入類本地用戶的密碼不起作用。關於本地用戶類型的詳細介紹,請參見“安全配置指導”中的“AAA”。
· 為了防止未授權用戶的非法侵入,在進行用戶角色切換時,要進行用戶身份驗證,即需要輸入用戶角色切換密碼,這個密碼就被稱為super密碼。關於super密碼的詳細介紹,請參見“基礎配置指導”中的“RBAC”。
管理員可以限製用戶密碼的最小長度。當設置用戶密碼時,如果輸入的密碼長度小於設置的最小長度,係統將不允許設置該密碼。
管理員可以設置用戶密碼的組成元素的組合類型,以及至少要包含每種元素的個數。密碼的組成元素包括以下4種類型:
· [A~Z]
· [a~z]
· [0~9]
· 32個特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密碼元素的組合類型有4種,具體涵義如下:
· 組合類型為1表示密碼中至少包含1種元素;
· 組合類型為2表示密碼中至少包含2種元素;
· 組合類型為3表示密碼中至少包含3種元素;
· 組合類型為4表示密碼中包含4種元素。
當用戶設置密碼時,係統會檢查設定的密碼是否符合配置要求,隻有符合要求的密碼才能設置成功。
密碼的複雜度越低,其被破解的可能性就越大,比如包含用戶名、使用重複字符等。出於安全性考慮,管理員可以設置用戶密碼的複雜度檢測功能,確保用戶的密碼具有較高的複雜度。具體實現是:配置用戶密碼時,係統檢測輸入的密碼是否符合一定的複雜度要求,隻有符合要求的密碼才能設置成功。目前,複雜度檢測功能對密碼的複雜度要求包括以下兩項:
· 密碼中不能包含用戶名或者字符順序顛倒的用戶名。例如,用戶名為“abc”,那麼“abc982”或者“2cba”之類的密碼就不符合複雜度要求。
· 密碼中不能包含連續三個或以上的相同字符。例如,密碼“a111”就不符合複雜度要求。
管理員可以設置用戶登錄設備後修改自身密碼的最小間隔時間。當用戶登錄設備修改自身密碼時,如果距離上次修改密碼的時間間隔小於配置值,則係統不允許修改密碼。例如,管理員配置用戶密碼更新間隔時間為48小時,那麼用戶在上次修改密碼後的48小時之內都無法成功進行密碼修改操作。
有兩種情況下的密碼更新並不受該功能的約束:用戶首次登錄設備時係統要求用戶修改密碼;密碼老化後係統要求用戶修改密碼。
密碼老化時間用來限製用戶密碼的使用時間。當密碼的使用時間超過老化時間後,需要用戶更換密碼。
當用戶登錄時,如果用戶輸入已經過期的密碼,係統將提示該密碼已經過期,需要重新設置密碼。如果輸入的新密碼不符合要求,或連續兩次輸入的新密碼不一致,係統將要求用戶重新輸入。對於FTP用戶,密碼老化後,隻能由管理員修改FTP用戶的密碼;對於Web、Telnet、SSH、Terminal(通過Console口登錄設備)用戶可自行修改密碼。
在用戶登錄時,係統判斷其密碼距離過期的時間是否在設置的提醒時間範圍內。如果在提醒時間範圍內,係統會提示該密碼還有多久過期,並詢問用戶是否修改密碼。如果用戶選擇修改,則記錄新的密碼及其設定時間。如果用戶選擇不修改或者修改失敗,則在密碼未過期的情況下仍可以正常登錄。對於FTP用戶,隻能由管理員修改FTP用戶的密碼;對於Web、Telnet、SSH、Terminal(通過Console口登錄設備)用戶可自行修改密碼。
管理員可以設置用戶密碼過期後在指定的時間內還能登錄設備指定的次數。這樣,密碼老化的用戶不需要立即更新密碼,依然可以登錄設備。例如,管理員設置密碼老化後允許用戶登錄的時間為15天、次數為3次,那麼用戶在密碼老化後的15天內,還能繼續成功登錄3次。
係統保存用戶密碼曆史記錄。當用戶修改密碼時,係統會要求用戶設置新的密碼,如果新設置的密碼以前使用過,且在當前用戶密碼曆史記錄中,係統將給出錯誤信息,提示用戶密碼更改失敗。另外,用戶更改密碼時,係統會將新設置的密碼逐一與所有記錄的曆史密碼以及當前密碼比較,要求新密碼至少要與舊密碼有4字符不同,且這4個字符必須互不相同,否則密碼更改失敗。
可以配置每個用戶密碼曆史記錄的最大條數,當密碼曆史記錄的條數超過配置的最大曆史記錄條數時,新的密碼曆史記錄將覆蓋該用戶最老的一條密碼曆史記錄。
由於為設備管理類本地用戶配置的密碼在哈希運算後以密文的方式保存,配置一旦生效後就無法還原為明文密碼,因此,設備管理類本地用戶的當前登錄密碼,不會被記錄到該用戶的密碼曆史記錄中。
當全局密碼管理功能使能後,用戶首次登錄設備時,係統會輸出相應的提示信息要求用戶修改密碼,否則不允許登錄設備。這種情況下的修改密碼不受密碼更新時間間隔的限製。
密碼嚐試次數限製可以用來防止惡意用戶通過不斷嚐試來破解密碼。
每次用戶認證失敗後,係統會將該用戶加入密碼管理的黑名單。可加入密碼管理功能黑名單的用戶包括:FTP用戶和通過Web或VTY方式訪問設備的用戶。不會加入密碼管理功能黑名單的用戶包括:用戶名不存在的用戶、通過Console口連接到設備的用戶。
當用戶連續嚐試認證的失敗累加次數達到設置的嚐試次數時,係統對用戶的後續登錄行為有以下三種處理措施:
· 永久禁止該用戶登錄。隻有管理員把該用戶從密碼管理的黑名單中刪除後,該用戶才能重新登錄。
· 不對該用戶做禁止,允許其繼續登錄。在該用戶登錄成功後,該用戶會從密碼管理的黑名單中刪除。
· 禁止該用戶一段時間後,再允許其重新登錄。當配置的禁止時間超時或者管理員將其從密碼管理的黑名單中刪除,該用戶才可以重新登錄。
管理員可以限製用戶帳號的閑置時間,禁止在閑置時間之內始終處於不活動狀態的用戶登錄。若用戶自從最後一次成功登錄之後,在配置的閑置時間內再未成功登錄過,那麼該閑置時間到達之後此用戶賬號立即失效,係統不再允許使用該賬號的用戶登錄。
出於安全考慮,用戶輸入密碼時,係統將不回顯用戶的密碼。
當用戶成功修改密碼或用戶登錄失敗加入密碼管理黑名單時,係統將會記錄相應的日誌。
本特性的各功能可支持在多個視圖下配置,各視圖可支持的功能不同。而且,相同功能的命令在不同視圖下或針對不同密碼時有效範圍有所不同,具體情況如下:
· 係統視圖下的全局配置對所有本地用戶密碼都有效;
· 用戶組視圖下的配置隻對當前用戶組內的所有本地用戶密碼有效;
· 本地用戶視圖下的配置隻對當前的本地用戶密碼有效;
· 為super密碼的各管理參數所作的配置隻對super密碼有效。
對於本地用戶密碼的各管理參數,其生效的優先級順序由高到低依次為本地用戶視圖、用戶組視圖、係統視圖。
表1-1 Password Control配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
使能密碼管理 |
必選 |
|
|
配置全局密碼管理 |
可選 |
|
|
配置用戶組密碼管理 |
可選 |
|
|
配置本地用戶密碼管理 |
可選 |
|
|
配置super密碼管理 |
可選 |
設備存儲空間不足會造成以下兩個影響:
· 不能使能全局密碼管理功能;
· 全局密碼管理功能處於使能的狀態下,用戶登錄設備失敗。
使能全局密碼管理功能,是密碼管理所有配置生效的前提。若要使得具體的密碼管理功能(密碼老化、密碼最小長度、密碼曆史記錄、密碼組合檢測)生效,還需使能指定的密碼管理功能。
需要注意的是,使能全局密碼管理功能後:
· 設備管理類本地用戶密碼以及super密碼的配置將不被顯示,即無法通過相應的display命令查看到設備管理類本地用戶密碼以及super密碼的配置。網絡接入類本地用戶密碼不受密碼管理功能控製,其配置顯示也不受影響。
· 首次設置的設備管理類本地用戶密碼必須至少由四個不同的字符組成。
· Password Control會記錄用戶配置密碼時的UTC時間。如果因設備斷電重啟等原因,UTC時間與Password Control記錄的UTC時間不一致,可能導致密碼老化管理功能出錯。因此,為保證密碼老化管理功能的正常工作,建議設備通過NTP(Network Time Protocol,網絡時間協議)協議獲取UTC時間。關於NTP的詳細介紹,請參見“網絡管理和監控配置指導”中的“NTP”。
|
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
使能全局密碼管理功能 |
password-control enable |
非FIPS模式下: 缺省情況下,全局密碼管理功能處於未使能狀態 FIPS模式下: 缺省情況下,全局密碼管理功能處開啟狀態,且不能關閉 |
|
(可選)使能指定的密碼管理功能 |
password-control { aging | composition | history | length } enable |
缺省情況下,各密碼管理功能均處於使能狀態 |
係統視圖下的全局密碼管理參數對所有設備管理類的本地用戶生效。對於密碼老化時間、密碼最小長度以及密碼組合策略這三個功能,可分別在係統視圖、用戶組視圖、本地用戶視圖下配置相關參數,其生效優先級從高到低依次為:本地用戶視圖->用戶組視圖->係統視圖。
除用戶登錄嚐試失敗後的行為配置屬於即時生效的配置,會在配置生效後立即影響密碼管理黑名單中當前用戶的鎖定狀態以及這些用戶後續的登錄之外,其它全局密碼管理配置生效後僅對後續登錄的用戶以及後續設置的用戶密碼有效,不影響當前用戶。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置密碼的老化時間 |
password-control aging aging-time |
缺省情況下,密碼的老化時間為90天 |
|
配置密碼更新的最小時間間隔 |
password-control update-interval interval |
缺省情況下,密碼更新的最小時間間隔為24小時 |
|
配置密碼的最小長度 |
password-control length length |
非FIPS模式下: 缺省情況下,密碼的最小長度為10個字符 FIPS模式下: 缺省情況下,密碼的最小長度為15個字符 |
|
配置用戶密碼的組合策略 |
password-control composition type-number type-number [ type-length type-length ] |
非FIPS模式下: 缺省情況下,密碼元素的組合類型至少為1種,至少要包含每種元素的個數為1個 FIPS模式下: 缺省情況下,密碼元素的組合類型至少為4種,至少要包含每種元素的個數為1個 |
|
配置用戶密碼的複雜度檢查策略 |
password-control complexity { same-character | user-name } check |
缺省情況下,不對用戶密碼進行複雜度檢查 |
|
配置每個用戶密碼曆史記錄的最大條數 |
password-control history max-record-number |
缺省情況下,每個用戶密碼曆史記錄的最大條數為4條 |
|
配置用戶登錄嚐試次數以及登錄嚐試失敗後的行為 |
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ] |
缺省情況下,用戶登錄嚐試次數為3次;如果用戶登錄失敗,則1分鍾後再允許該用戶重新登錄 |
|
配置密碼過期前的提醒時間 |
password-control alert-before-expire alert-time |
缺省情況下,密碼過期前的提醒時間為7天 |
|
配置密碼過期後允許用戶登錄的時間和次數 |
password-control expired-user-login delay delay times times |
缺省情況下,密碼過期後的30天內允許用戶登錄3次 |
|
配置用戶帳號的閑置時間 |
password-control login idle-time idle-time |
缺省情況下,用戶帳號的閑置時間為90天 用戶賬號閑置超時後,該賬號將會失效,用戶將無法正常登錄設備。若不需要賬號閑置時間檢查功能,可將idle-time配置為0,表示Password Control功能對用戶賬號閑置時間無限製 |
表1-4 配置用戶組密碼管理
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建用戶組,並進入用戶組視圖 |
user-group group-name |
缺省情況下,不存在任何用戶組 用戶組的相關配置請參見“安全配置指導”中的“AAA” |
|
配置用戶組的密碼老化時間 |
password-control aging aging-time |
缺省情況下,采用全局密碼老化時間 |
|
配置用戶組的密碼最小長度 |
password-control length length |
缺省情況下,采用全局密碼最小長度 |
|
配置用戶組的密碼組合策略 |
password-control composition type-number type-number [ type-length type-length ] |
缺省情況下,采用全局密碼組合策略 |
|
配置用戶密碼的複雜度檢查策略 |
password-control complexity { same-character | user-name } check |
缺省情況下,采用全局密碼複雜度檢查策略 |
|
配置用戶登錄嚐試次數以及登錄嚐試失敗後的行為 |
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ] |
缺省情況下,采用全局的用戶登錄嚐試限製策略 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建設備管理類本地用戶,並進入本地用戶視圖 |
local-user user-name class manage |
缺省情況下,不存在任何本地用戶 本地用戶密碼管理功能僅對設備管理類的本地用戶生效,對於網絡接入類本地用戶不起作用 本地用戶的相關配置請參見“安全配置指導”中的“AAA” |
|
配置本地用戶的密碼老化時間 |
password-control aging aging-time |
缺省情況下,采用本地用戶所屬用戶組的密碼老化時間 |
|
配置本地用戶的密碼最小長度 |
password-control length length |
缺省情況下,采用本地用戶所屬用戶組的密碼最小長度 |
|
配置本地用戶的密碼組合策略 |
password-control composition type-number type-number [ type-length type-length ] |
缺省情況下,采用本地用戶所屬用戶組的密碼組合策略 |
|
配置用戶密碼的複雜度檢查策略 |
password-control complexity { same-character | user-name } check |
缺省情況下,采用本地用戶所屬用戶組的密碼複雜度檢查策略 |
|
配置用戶登錄嚐試次數以及登錄嚐試失敗後的行為 |
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ] |
缺省情況下,采用本地用戶所屬用戶組的用戶登錄嚐試限製策略 |
表1-6 配置super密碼管理
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置super密碼的老化時間 |
password-control super aging aging-time |
缺省情況下,密碼的老化時間為90天 |
|
配置super密碼的最小長度 |
password-control super length length |
非FIPS模式下: 缺省情況下,密碼的最小長度為10個字符 FIPS模式下: 缺省情況下,密碼的最小長度為15個字符 |
|
配置super密碼的組合策略 |
password-control super composition type-number type-number [ type-length type-length ] |
非FIPS模式下: 缺省情況下,密碼元素的組合類型至少為1種,至少要包含每種元素的個數為1個 FIPS模式下: 缺省情況下,密碼元素的組合類型至少為4種,至少要包含每種元素的個數為1個 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Password Control的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Password Control統計信息。
|
操作 |
命令 |
|
顯示密碼管理的配置信息 |
display password-control [ super ] |
|
顯示用戶認證失敗後,被加入密碼管理黑名單中的用戶信息 |
display password-control blacklist [ user-name user-name | ip ipv4-address | ipv6 ipv6-address ] |
|
清除密碼管理黑名單中的用戶 |
reset password-control blacklist [ user-name user-name ] |
|
清除用戶的密碼曆史記錄 |
reset password-control history-record [ user-name user-name | super [ role role-name ] ] |
當密碼曆史記錄功能未啟動時,reset password-control history-record命令同樣可以清除全部或者某個用戶的密碼曆史記錄。
有以下密碼管理需求:
· 全局密碼管理策略:用戶2次登錄失敗後就永久禁止登錄;最小密碼長度為16個字符,密碼老化時間為30天;允許用戶進行密碼更新的最小時間間隔為36小時;密碼過期後60天內允許登錄5次;用戶帳號的閑置時間為30天;不允許密碼中包含用戶名或者字符順序顛倒的用戶名;不允許密碼中包含連續三個或以上相同字符;密碼元素的最少組合類型為4種,至少要包含每種元素的個數為4個。
· 切換到用戶角色network-operator時使用的super密碼管理策略:最小密碼長度為24個字符,密碼元素的最少組合類型為4種,至少要包含每種元素的個數為5個。
· 本地Telnet用戶test的密碼管理策略:最小密碼長度為24個字符,密碼元素的最少組合類型為4種,至少要包含每種元素的個數為5個,密碼老化時間為20天。
# 使能全局密碼管理功能。
<Sysname> system-view
[Sysname] password-control enable
# 配置用戶2次登錄失敗後就永久禁止該用戶登錄。
[Sysname] password-control login-attempt 2 exceed lock
# 配置全局的密碼老化時間為30天。
[Sysname] password-control aging 30
# 配置全局的密碼的最小長度為16。
[Sysname] password-control length 16
# 配置密碼更新的最小時間間隔為36小時。
[Sysname] password-control update-interval 36
# 配置用戶密碼過期後的60天內允許登錄5次。
[Sysname] password-control expired-user-login delay 60 times 5
# 配置用戶帳號的閑置時間為30天。
[Sysname] password-control login idle-time 30
# 使能在配置的密碼中檢查包含用戶名或者字符順序顛倒的用戶名的功能。
[Sysname] password-control complexity user-name check
# 使能在配置的密碼中檢查包含連續三個或以上相同字符的功能。
[Sysname] password-control complexity same-character check
#配置全局的密碼元素的最少組合類型為4種,至少要包含每種元素的個數為4個。
[Sysname] password-control composition type-number 4 type-length 4
# 配置super密碼的最小長度為24。
[Sysname] password-control super length 24
# 配置super密碼元素的最少組合類型為4種,至少要包含每種元素的個數為5個。
[Sysname] password-control super composition type-number 4 type-length 5
# 配置切換到用戶角色network-operator時使用的super密碼為明文123456789ABGFTweuix@#$%!。
[Sysname] super password role network-operator simple 123456789ABGFTweuix@#$%!
# 添加設備管理類本地用戶test。
[Sysname] local-user test class manage
# 配置本地用戶的服務類型為Telnet。
[Sysname-luser-manage-test] service-type telnet
# 配置本地用戶的最小密碼長度為24個字符。
[Sysname-luser-manage-test] password-control length 24
# 配置本地用戶的密碼元素的最少組合類型為4種,至少要包含每種元素的個數為5個。
[Sysname-luser-manage-test] password-control composition type-number 4 type-length 5
# 配置本地用戶的密碼老化時間為20天。
[Sysname-luser-manage-test] password-control aging 20
# 以交互式方式配置本地用戶密碼。
[Sysname-luser-manage-test] password
Password:
Confirm :
Updating user information. Please wait ... ...
[Sysname-luser-manage-test] quit
# 可通過如下命令查看全局密碼管理的配置信息。
<Sysname> display password-control
Global password control configurations:
Password control: Enabled
Password aging: Enabled (30 days)
Password length: Enabled (16 characters)
Password composition: Enabled (4 types, 4 characters per type)
Password history: Enabled (max history record:4)
Early notice on password expiration: 7 days
Maximum login attempts: 2
Action for exceeding login attempts: Lock
Minimum interval between two updates: 36 hours
User account idle time: 30 days
Logins with aged password: 5 times in 60 days
Password complexity: Enabled (username checking)
Enabled (repeated characters checking)
# 可通過如下命令查看super密碼管理的配置信息。
<Sysname> display password-control super
Super password control configurations:
Password aging: Enabled (90 days)
Password length: Enabled (24 characters)
Password composition: Enabled (4 types, 5 characters per type)
# 可通過如下命令查看到本地用戶密碼管理的配置信息。
<Sysname> display local-user user-name test class manage
Total 1 local users matched.
Device management user test:
State: Active
Service type: Telnet
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-operator
Password control configurations:
Password aging: 20 days
Password length: 24 characters
Password composition: 4 types, 5 characters per type
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
