- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-Password Control配置
本章節下載: 08-Password Control配置 (271.35 KB)
目 錄
Password Control(密碼管理)是設備提供的密碼安全管理功能,它根據管理員定義的安全策略,對設備管理類的本地用戶登錄密碼、super密碼的設置、老化、更新等方麵進行管理,並對用戶的登錄狀態進行控製。關於本地用戶類型的詳細介紹,請參見“安全配置指導”中的“AAA”。關於super密碼的詳細介紹,請參見“基礎配置指導”中的“RBAC”。
管理員可以限製用戶密碼的最小長度。當設置用戶密碼時,如果輸入的密碼長度小於設置的最小長度,係統將不允許設置該密碼。
管理員可以設置用戶密碼的組成元素的組合類型,以及至少要包含每種元素的個數。密碼的組成元素包括以下4種類型:
· [A~Z]
· [a~z]
· [0~9]
· 32個特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密碼元素的組合類型有4種,具體涵義如下:
· 組合類型為1表示密碼中至少包含1種元素;
· 組合類型為2表示密碼中至少包含2種元素;
· 組合類型為3表示密碼中至少包含3種元素;
· 組合類型為4表示密碼中包含4種元素。
當用戶設置密碼時,係統會檢查設定的密碼是否符合配置要求,隻有符合要求的密碼才能設置成功。
密碼的複雜度越低,其被破解的可能性就越大,比如包含用戶名、使用重複字符等。出於安全性考慮,管理員可以設置用戶密碼的複雜度檢測功能,確保用戶的密碼具有較高的複雜度。具體實現是:配置用戶密碼時,係統檢測輸入的密碼是否符合一定的複雜度要求,隻有符合要求的密碼才能設置成功。目前,複雜度檢測功能對密碼的複雜度要求包括以下兩項:
· 密碼中不能包含用戶名或者字符順序顛倒的用戶名。例如,用戶名為“abc”,那麼“abc982”或者“2cba”之類的密碼就不符合複雜度要求。
· 密碼中不能包含連續三個或以上的相同字符。例如,密碼“a111”就不符合複雜度要求。
管理員可以設置用戶登錄設備後修改自身密碼的最小間隔時間。當用戶登錄設備修改自身密碼時,如果距離上次修改密碼的時間間隔小於配置值,則係統不允許修改密碼。例如,管理員配置用戶密碼更新間隔時間為48小時,那麼用戶在上次修改密碼後的48小時之內都無法成功進行密碼修改操作。
有兩種情況下的密碼更新並不受該功能的約束:用戶首次登錄設備時係統要求用戶修改密碼;密碼老化後係統要求用戶修改密碼。
密碼老化時間用來限製用戶密碼的使用時間。當密碼的使用時間超過老化時間後,需要用戶更換密碼。
當用戶登錄時,如果用戶輸入已經過期的密碼,係統將提示該密碼已經過期,需要重新設置密碼。如果輸入的新密碼不符合要求,或連續兩次輸入的新密碼不一致,係統將要求用戶重新輸入。對於FTP用戶,密碼老化後,隻能由管理員修改FTP用戶的密碼;對於Web、Telnet、SSH、Terminal(通過Console口登錄設備)用戶可自行修改密碼。
在用戶登錄時,係統判斷其密碼距離過期的時間是否在設置的提醒時間範圍內。如果在提醒時間範圍內,係統會提示該密碼還有多久過期,並詢問用戶是否修改密碼。如果用戶選擇修改,則記錄新的密碼及其設定時間。如果用戶選擇不修改或者修改失敗,則在密碼未過期的情況下仍可以正常登錄。對於FTP用戶,隻能由管理員修改FTP用戶的密碼;對於Web、Telnet、SSH、Terminal(通過Console口登錄設備)用戶可自行修改密碼。
管理員可以設置用戶密碼過期後在指定的時間內還能登錄設備指定的次數。這樣,密碼老化的用戶不需要立即更新密碼,依然可以登錄設備。例如,管理員設置密碼老化後允許用戶登錄的時間為15天、次數為3次,那麼用戶在密碼老化後的15天內,還能繼續成功登錄3次。
係統保存用戶密碼曆史記錄。當用戶修改密碼時,係統會要求用戶設置新的密碼,如果新設置的密碼以前使用過,且在當前用戶密碼曆史記錄中,係統將給出錯誤信息,提示用戶密碼更改失敗。另外,用戶更改密碼時,係統會將新設置的密碼逐一與所有記錄的曆史密碼以及當前密碼比較,要求新密碼至少要與舊密碼有4字符不同,且這4個字符必須互不相同,否則密碼更改失敗。
可以配置每個用戶密碼曆史記錄的最大條數,當密碼曆史記錄的條數超過配置的最大曆史記錄條數時,新的密碼曆史記錄將覆蓋該用戶最老的一條密碼曆史記錄。
由於為設備管理類本地用戶配置的密碼在哈希運算後以密文的方式保存,配置一旦生效後就無法還原為明文密碼,因此,設備管理類本地用戶的當前登錄密碼,不會被記錄到該用戶的密碼曆史記錄中。
當全局密碼管理功能開啟後,用戶首次登錄設備時,缺省情況下,係統會輸出相應的提示信息要求用戶修改密碼,否則不允許登錄設備。這種情況下的修改密碼不受密碼更新時間間隔的限製。如果不希望用戶首次登錄設備時必須修改密碼,可以關閉首次登錄修改密碼功能。
密碼嚐試次數限製可以用來防止惡意用戶通過不斷嚐試來破解密碼。
每次用戶認證失敗後,係統會將該用戶加入密碼管理的黑名單。可加入密碼管理功能黑名單的用戶包括:FTP用戶和通過VTY或Web方式訪問設備的用戶。不會加入密碼管理功能黑名單的用戶包括:用戶名不存在的用戶、通過Console口連接到設備的用戶。
當用戶連續嚐試認證的失敗累加次數達到設置的嚐試次數時,係統對用戶的後續登錄行為有以下三種處理措施:
· 永久禁止該用戶登錄。隻有管理員把該用戶從密碼管理的黑名單中刪除後,該用戶才能重新登錄。
· 不對該用戶做禁止,允許其繼續登錄。在該用戶登錄成功後,該用戶會從密碼管理的黑名單中刪除。
· 禁止該用戶一段時間後,再允許其重新登錄。當配置的禁止時間超時或者管理員將其從密碼管理的黑名單中刪除,該用戶才可以重新登錄。
管理員可以限製用戶帳號的閑置時間,禁止在閑置時間之內始終處於不活動狀態的用戶登錄。若用戶自從最後一次成功登錄之後,在配置的閑置時間內再未成功登錄過,那麼該閑置時間到達之後此用戶賬號立即失效,係統不再允許使用該賬號的用戶登錄。
通過Telnet、SSH、HTTP、HTTPS方式登錄的設備管理類用戶,輸入登錄密碼時,係統會根據當前設定的Password control密碼組合檢測策略、密碼最小長度限製以及密碼複雜度檢查策略對用戶的登錄密碼進行檢查,若不符合以上密碼檢查策略要求,則視為弱密碼。缺省情況下,用戶使用弱密碼登錄設備時,係統會打印提示信息,但不會強製用戶修改密碼,即使用弱密碼也可以登錄設備。若需要提高設備使用的安全性,可通過命令行開啟弱密碼登錄修改密碼功能,開啟該功能後會禁止Telnet、SSH、HTTP、HTTPS方式登錄的設備管理類用戶使用弱密碼登錄,要求用戶修改密碼,直到密碼組合策略、密碼長度以及密碼複雜度檢查策略的設定符合設備要求。
部分設備使用出廠配置啟動時,存在缺省用戶名和缺省密碼。通過Telnet、SSH、HTTP、HTTPS方式登錄的設備管理類用戶,使用缺省用戶和缺省密碼登錄設備時,請根據係統提示信息修改密碼,否則不允許登錄設備。
出於安全考慮,用戶輸入密碼時,係統將不回顯用戶的密碼。
當用戶成功修改密碼或用戶登錄失敗加入密碼管理黑名單時,係統將會記錄相應的日誌。
設備存儲空間不足會造成以下兩個影響:
· 不能開啟全局密碼管理功能;
· 全局密碼管理功能處於開啟的狀態下,用戶登錄設備失敗。
本特性的各功能可支持在多個視圖下配置,各視圖可支持的功能不同。而且,相同功能的命令在不同視圖下或針對不同密碼時有效範圍有所不同,具體情況如下:
· 係統視圖下的全局配置對所有本地用戶密碼都有效;
· 用戶組視圖下的配置隻對當前用戶組內的所有本地用戶密碼有效;
· 本地用戶視圖下的配置隻對當前的本地用戶密碼有效;
· 為super密碼的各管理參數所作的配置隻對super密碼有效。
對於本地用戶密碼的各管理參數,其生效的優先級順序由高到低依次為本地用戶視圖、用戶組視圖、係統視圖。
Password Control配置任務如下:
(1) 開啟密碼管理
(2) (可選)配置全局密碼管理
(3) (可選)配置用戶組密碼管理
(4) (可選)配置本地用戶密碼管理
(5) (可選)配置super密碼管理
開啟全局密碼管理功能,是密碼管理所有配置生效的前提。若要使得具體的密碼管理功能(密碼老化、密碼最小長度、密碼曆史記錄、密碼組合檢測)生效,還需開啟指定的密碼管理功能。
開啟全局密碼管理功能,有以下配置限製和指導:
· 設備管理類本地用戶密碼以及super密碼的配置將不被顯示,即無法通過相應的display命令查看到設備管理類本地用戶密碼以及super密碼的配置。網絡接入類本地用戶密碼不受密碼管理功能控製,其配置顯示也不受影響。
· 首次設置的設備管理類本地用戶密碼必須至少由四個不同的字符組成。
· Password Control會記錄用戶配置密碼時的UTC時間。如果因設備斷電重啟等原因,UTC時間與Password Control記錄的UTC時間不一致,可能導致密碼老化管理功能出錯。因此,為保證密碼老化管理功能的正常工作,建議設備通過NTP(Network Time Protocol,網絡時間協議)協議獲取UTC時間。關於NTP的詳細介紹,請參見“網絡管理和監控配置指導”中的“NTP”。
(1) 進入係統視圖。
system-view
(2) 開啟全局密碼管理功能。
password-control enable
缺省情況下,全局密碼管理功能處於關閉狀態。
(3) (可選)開啟指定的密碼管理功能。
password-control { aging | composition | history | length } enable
缺省情況下,各密碼管理功能均處於開啟狀態。
係統視圖下的全局密碼管理參數對所有設備管理類的本地用戶生效。
對於密碼老化時間、密碼最小長度以及密碼組合策略這三個功能,可分別在係統視圖、用戶組視圖、本地用戶視圖下配置相關參數,其生效優先級從高到低依次為:本地用戶視圖->用戶組視圖->係統視圖。
除用戶登錄嚐試失敗後的行為配置屬於即時生效的配置,會在配置生效後立即影響密碼管理黑名單中當前用戶的鎖定狀態以及這些用戶後續的登錄之外,其它全局密碼管理配置生效後僅對後續登錄的用戶以及後續設置的用戶密碼有效,不影響當前用戶。
(1) 進入係統視圖。
system-view
(2) 控製密碼設置
¡ 配置用戶密碼的最小長度。
password-control length length
缺省情況下,用戶密碼的最小長度為10個字符。
¡ 配置用戶密碼的組合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情況下,密碼元素的最少組合類型為2種,至少要包含每種元素的個數為1。
¡ 配置用戶密碼的複雜度檢查策略。
password-control complexity { same-character | user-name } check
缺省情況下,對用戶密碼中是否包含用戶名或者在字符順序顛倒的用戶名進行檢查,但對用戶密碼中是否包含連續三個或以上的相同字符不進行檢查。
¡ 配置每個用戶密碼曆史記錄的最大條數。
password-control history max-record-number
缺省情況下,每個用戶密碼曆史記錄的最大條數為4條。
(3) 管理密碼更新與老化
¡ 配置用戶密碼更新的最小時間間隔。
password-control update-interval interval
缺省情況下,用戶密碼更新的最小時間間隔為24小時。
¡ 配置用戶密碼的老化時間。
password-control aging aging-time
缺省情況下,用戶密碼的老化時間為90天。
¡ 配置密碼過期前的提醒時間。
password-control alert-before-expire alert-time
缺省情況下,密碼過期前的提醒時間為7天。
¡ 配置密碼過期後允許用戶登錄的時間和次數。
password-control expired-user-login delay delay times times
缺省情況下,密碼過期後的30天內允許用戶登錄3次。
(4) 控製用戶登錄
¡ 配置用戶登錄嚐試次數以及登錄嚐試失敗後的行為。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情況下,用戶登錄嚐試次數為3次;如果用戶登錄失敗,則1分鍾後再允許該用戶重新登錄。
¡ 配置用戶帳號的閑置時間。
password-control login idle-time idle-time
缺省情況下,用戶帳號的閑置時間為90天。
¡ 關閉首次登錄修改密碼功能。
undo password-control change-password first-login enable
¡ 開啟弱密碼登錄修改密碼功能。
password-control change-password weak-password enable
缺省情況下,弱密碼登錄修改密碼功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 創建用戶組,並進入用戶組視圖。
user-group group-name
缺省情況下,不存在任何用戶組。
用戶組的相關配置請參見“安全配置指導”中的“AAA”。
(3) 配置用戶組的密碼老化時間。
password-control aging aging-time
缺省情況下,采用全局密碼老化時間。
(4) 配置用戶組的密碼最小長度。
password-control length length
缺省情況下,采用全局密碼最小長度。
(5) 配置用戶組密碼的組合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情況下,采用全局密碼組合策略。
(6) 配置用戶組密碼的複雜度檢查策略。
password-control complexity { same-character | user-name } check
缺省情況下,采用全局密碼複雜度檢查策略。
(7) 配置用戶組登錄嚐試次數以及登錄嚐試失敗後的行為。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情況下,采用全局的用戶登錄嚐試限製策略。
(1) 進入係統視圖。
system-view
(2) 創建設備管理類本地用戶,並進入本地用戶視圖。
local-user user-name class manage
缺省情況下,不存在任何本地用戶。
本地用戶密碼管理功能僅對設備管理類的本地用戶生效,對於網絡接入類本地用戶不起作用。本地用戶的相關配置請參見“安全配置指導”中的“AAA”。
(3) 配置本地用戶的密碼老化時間。
password-control aging aging-time
缺省情況下,采用本地用戶所屬用戶組的密碼老化時間。
(4) 配置本地用戶的密碼最小長度。
password-control length length
缺省情況下,采用本地用戶所屬用戶組的密碼最小長度。
(5) 配置本地用戶的密碼組合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情況下,采用本地用戶所屬用戶組的密碼組合策略。
(6) 配置本地用戶密碼的複雜度檢查策略。
password-control complexity { same-character | user-name } check
缺省情況下,采用本地用戶所屬用戶組的密碼複雜度檢查策略。
(7) 配置本地用戶登錄嚐試次數以及登錄嚐試失敗後的行為。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情況下,采用本地用戶所屬用戶組的用戶登錄嚐試限製策略。
(1) 進入係統視圖。
system-view
(2) 配置super密碼的老化時間。
password-control super aging aging-time
缺省情況下,密碼的老化時間為90天。
(3) 配置super密碼的最小長度。
password-control super length length
缺省情況下,密碼的最小長度為10個字符。
(4) 配置super密碼的組合策略。
password-control super composition type-number type-number [ type-length type-length ]
缺省情況下,密碼的元素最少組合至少為2種,至少要包含每種元素的個數為1個。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Password Control的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Password Control統計信息。
|
操作 |
命令 |
|
顯示密碼管理的配置信息 |
display password-control [ super ] |
|
顯示用戶認證失敗後,被加入密碼管理黑名單中的用戶信息 |
display password-control blacklist [ user-name user-name | ip ipv4-address | ipv6 ipv6-address ] |
|
清除密碼管理黑名單中的用戶 |
reset password-control blacklist [ user-name user-name ] |
|
清除用戶的密碼曆史記錄 |
reset password-control history-record [ user-name user-name | super [ role role-name ] ] |
當密碼曆史記錄功能未啟動時,reset password-control history-record命令同樣可以清除全部或者某個用戶的密碼曆史記錄。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
