- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-Password Control配置
本章節下載: 09-Password Control配置 (299.81 KB)
目 錄
Password Control(密碼管理)是設備提供的密碼安全管理功能,它根據管理員定義的安全策略,對本地用戶登錄密碼、super密碼的設置、老化、更新等方麵進行管理,並對用戶的登錄狀態進行控製。關於本地用戶類型的詳細介紹,請參見“用戶接入與認證配置指導”中的“AAA”。關於super密碼的詳細介紹,請參見“基礎配置指導”中的“RBAC”。
管理員可以限製用戶密碼的最小長度。當設置用戶密碼時,如果輸入的密碼長度小於設置的最小長度,係統將不允許設置該密碼。
管理員可以設置用戶密碼的組成元素的組合類型,以及至少要包含每種元素的個數。密碼的組成元素包括以下4種類型:
· [A~Z]
· [a~z]
· [0~9]
· 32個特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密碼元素的組合類型有4種,具體涵義如下:
· 組合類型為1表示密碼中至少包含1種元素;
· 組合類型為2表示密碼中至少包含2種元素;
· 組合類型為3表示密碼中至少包含3種元素;
· 組合類型為4表示密碼中包含4種元素。
當用戶設置密碼時,係統會檢查設定的密碼是否符合配置要求,隻有符合要求的密碼才能設置成功。
密碼的複雜度越低,其被破解的可能性就越大,比如包含用戶名、使用重複字符等。出於安全性考慮,管理員可以設置用戶密碼的複雜度檢測功能,確保用戶的密碼具有較高的複雜度。具體實現是:配置用戶密碼時,係統檢測輸入的密碼是否符合一定的複雜度要求,隻有符合要求的密碼才能設置成功。目前,複雜度檢測功能對密碼的複雜度要求包括以下兩項:
· 密碼中不能包含用戶名或者字符順序顛倒的用戶名。例如,用戶名為“abc”,那麼“abc982”或者“2cba”之類的密碼就不符合複雜度要求。
· 密碼中不能包含連續三個或以上的相同字符。例如,密碼“a111”就不符合複雜度要求。
管理員可以設置用戶登錄設備後修改自身密碼的最小間隔時間。當用戶登錄設備修改自身密碼時,如果距離上次修改密碼的時間間隔小於配置值,則係統不允許修改密碼。例如,管理員配置用戶密碼更新間隔時間為48小時,那麼用戶在上次修改密碼後的48小時之內都無法成功進行密碼修改操作。
有兩種情況下的密碼更新並不受該功能的約束:用戶首次登錄設備時係統要求用戶修改密碼;密碼老化後係統要求用戶修改密碼。
密碼老化時間用來限製用戶密碼的使用時間。當密碼的使用時間超過老化時間後,需要用戶更換密碼。
當用戶登錄時,如果用戶輸入已經過期的密碼,係統將提示該密碼已經過期,需要重新設置密碼。如果輸入的新密碼不符合要求,或連續兩次輸入的新密碼不一致,係統將要求用戶重新輸入。對於FTP用戶,密碼老化後,隻能由管理員修改FTP用戶的密碼;對於Web、Telnet、SSH、Terminal(通過Console口登錄設備)用戶可自行修改密碼。
在用戶登錄時,係統判斷其密碼距離過期的時間是否在設置的提醒時間範圍內。如果在提醒時間範圍內,係統會提示該密碼還有多久過期,並詢問用戶是否修改密碼。如果用戶選擇修改,則記錄新的密碼及其設定時間。如果用戶選擇不修改或者修改失敗,則在密碼未過期的情況下仍可以正常登錄。對於FTP用戶,隻能由管理員修改FTP用戶的密碼;對於Web、Telnet、SSH、Terminal(通過Console口登錄設備)用戶可自行修改密碼。
管理員可以設置用戶密碼過期後在指定的時間內還能登錄設備指定的次數。這樣,密碼老化的用戶不需要立即更新密碼,依然可以登錄設備。例如,管理員設置密碼老化後允許用戶登錄的時間為15天、次數為3次,那麼用戶在密碼老化後的15天內,還能繼續成功登錄3次。
係統保存用戶密碼曆史記錄。
設備管理類本地用戶和用戶角色切換的密碼是以哈希運算後的密文方式保存,無法還原為明文密碼,因此在配置新的設備管理類本地用戶密碼或用戶角色切換密碼時:如果新密碼以哈希方式設置,則不和所有記錄的曆史密碼以及當前密碼比較;如果新密碼以明文方式配置,則新密碼要與所有記錄的曆史密碼以及當前密碼不同,當需要用戶輸入舊密碼校驗時,還要檢查新密碼和用戶輸入的舊密碼至少有4個字符不同,且這4個字符必須互不相同,否則密碼更改失敗。
可以配置每個用戶密碼曆史記錄的最大條數,當密碼曆史記錄的條數超過配置的最大曆史記錄條數時,新的密碼曆史記錄將覆蓋該用戶最老的一條密碼曆史記錄。
由於為設備管理類本地用戶配置的密碼在哈希運算後以密文的方式保存,配置一旦生效後就無法還原為明文密碼,因此,設備管理類本地用戶的當前登錄密碼,不會被記錄到該用戶的密碼曆史記錄中。
當全局密碼管理功能開啟後,用戶首次登錄設備時,缺省情況下係統會輸出相應的提示信息要求用戶修改密碼,否則不允許登錄設備。這種情況下的修改密碼不受密碼更新時間間隔的限製。如果不希望用戶首次登錄設備時必須修改密碼,可以關閉首次登錄修改密碼功能。
通過記錄認證失敗用戶和維護黑名單中表項的鎖定狀態,設備可限製異常用戶登錄。
FTP用戶和通過VTY或Web方式訪問設備的用戶在認證失敗後,其IP地址和用戶名會被加入密碼管理的黑名單;通過Console口登錄的用戶在認證失敗後,由於係統無法獲得其IP地址,且這類訪問設備的用戶已經具備了一定的權限和安全性,所以認證失敗後不會被加入密碼管理的黑名單。
不同IP地址的用戶采用同一個用戶名登錄時,若登錄設備失敗,則設備會針對每個IP地址記錄黑名單表項。配置密碼管理黑名單中同一用戶名可記錄的最大表項數後,當設備記錄的該用戶加入密碼管理黑名單的表項數超過配置的最大值之後,若該用戶采用新的IP地址再次登錄認證失敗,則該用戶名相關的最早一條黑名單記錄表項會被刪除,新的記錄被加入黑名單列表。
密碼嚐試次數限製可以用來防止惡意用戶通過不斷嚐試來破解密碼。
每次用戶認證失敗後,係統會將該用戶加入密碼管理的黑名單。可加入密碼管理功能黑名單的用戶包括:FTP用戶和通過VTY或Web方式訪問設備的用戶。不會加入密碼管理功能黑名單的用戶包括:用戶名不存在的用戶、通過Console口連接到設備的用戶。
當用戶連續嚐試認證的失敗累加次數達到設置的嚐試次數時,係統對用戶的後續登錄行為有以下三種處理措施:
· 永久禁止該用戶通過登錄失敗IP地址登錄。隻有管理員把該用戶從密碼管理的黑名單中刪除後,該用戶才能重新登錄。
· 不對該用戶做禁止,允許其繼續登錄。在該用戶登錄成功後,該用戶會從密碼管理的黑名單中刪除。
· 禁止該用戶通過登錄失敗IP地址登錄,經過一段時間後,再允許其重新登錄。當配置的禁止時間超時或者管理員將其從密碼管理的黑名單中刪除,該用戶才可以重新登錄。
管理員可以限製用戶賬號的閑置時間,禁止在閑置時間之內始終處於不活動狀態的用戶登錄。若用戶自從最後一次成功登錄之後,在配置的閑置時間內再未成功登錄過,那麼該閑置時間到達之後此用戶賬號立即失效,係統不再允許使用該賬號的用戶登錄。
通過Telnet、SSH、HTTP、HTTPS方式登錄的設備管理類用戶,輸入登錄密碼時,係統會根據當前設定的Password control密碼組合檢測策略、密碼最小長度限製以及密碼複雜度檢查策略對用戶的登錄密碼進行檢查,若不符合以上密碼檢查策略要求,則視為弱密碼。
缺省情況下,用戶使用弱密碼登錄設備時,係統會打印提示信息,但不會強製用戶修改密碼,即使用弱密碼也可以登錄設備。若需要提高設備使用的安全性,可通過命令行開啟弱密碼登錄修改密碼功能,開啟該功能後會禁止Telnet、SSH、HTTP、HTTPS方式登錄的設備管理類用戶使用弱密碼登錄,要求用戶修改密碼,直到密碼組合策略、密碼長度以及密碼複雜度檢查策略的設定符合設備要求。
設備使用出廠配置啟動時,存在缺省用戶名和缺省密碼,通過Telnet、SSH、HTTP、HTTPS方式登錄的設備管理類用戶,使用缺省用戶和缺省密碼登錄設備時,必須根據係統提示信息修改密碼,否則不允許登錄設備。
出於安全考慮,用戶輸入密碼時,係統將不回顯用戶的密碼。
當用戶成功修改密碼或用戶登錄失敗加入密碼管理黑名單時,係統將會記錄相應的日誌。
設備存儲空間不足會造成以下兩個影響:
· 不能開啟全局密碼管理功能;
· 全局密碼管理功能處於開啟的狀態下,用戶登錄設備失敗。
本特性的各功能可支持在多個視圖下配置,各視圖可支持的功能不同。而且,相同功能的命令在不同視圖下或針對不同密碼時有效範圍有所不同,具體情況如下:
· 係統視圖下的全局配置對所有本地用戶密碼都有效;
· 用戶組視圖下的配置隻對當前用戶組內的所有本地用戶密碼有效;
· 本地用戶視圖下的配置隻對當前的本地用戶密碼有效;
· 為super密碼的各管理參數所作的配置隻對super密碼有效。
對於本地用戶密碼的各管理參數,其生效的優先級順序由高到低依次為本地用戶視圖、用戶組視圖、係統視圖。
Password Control配置任務如下:
(1) 開啟密碼管理
(2) (可選)配置全局密碼管理
(3) (可選)配置用戶組密碼管理
(4) (可選)配置本地用戶密碼管理
(5) (可選)配置super密碼管理
對於設備管理類本地用戶,開啟全局密碼管理功能,是除密碼的組合檢測管理功能、密碼最小長度管理功能以及檢查密碼中是否包含用戶名或者字符順序顛倒的用戶名功能之外,其他密碼管理功能生效的前提。若要使得具體的密碼管理功能(密碼老化、密碼最小長度、密碼曆史記錄檢測、密碼組合檢測)生效,還需開啟指定的密碼管理功能。
對於網絡接入類本地用戶,所有密碼管理功能隻有在使能了全局密碼管理功能的情況下才能生效。
開啟全局密碼管理功能,有以下配置限製和指導:
· 本地用戶密碼以及super密碼的配置將不被顯示,即無法通過相應的display命令查看到本地用戶密碼以及super密碼的配置。
· 首次設置的設備管理類本地用戶密碼必須至少由四個不同的字符組成。
· Password Control會記錄用戶配置密碼時的UTC時間。如果因設備斷電重啟等原因,UTC時間與Password Control記錄的UTC時間不一致,可能導致密碼老化管理功能出錯。因此,為保證密碼老化管理功能的正常工作,建議設備通過NTP(Network Time Protocol,網絡時間協議)協議獲取UTC時間。關於NTP的詳細介紹,請參見“網絡管理和監控配置指導”中的“NTP”。
· 開啟全局密碼管理功能後,設備自動生成後綴名為“dat”的文件並保存於存儲介質中用於記錄本地用戶的認證、登錄信息。請不要手工刪除或修改該文件。
(1) 進入係統視圖。
system-view
(2) 開啟全局密碼管理功能。
password-control enable [ network-class ]
缺省情況下,設備管理類本地用戶和網絡接入類本地用戶全局密碼管理功能均處於關閉狀態。
(3) (可選)開啟指定的密碼管理功能。
password-control { aging | composition | history | length } enable
缺省情況下,各密碼管理功能均處於開啟狀態。
係統視圖下的全局密碼管理參數對所有設備管理類和網絡接入類的本地用戶生效。
設備管理類用戶支持所有的密碼管理功能,其中對密碼老化時間、密碼最小長度、密碼複雜度檢查策略、密碼組合策略以及用戶登錄嚐試失敗後的行為的配置,可分別在係統視圖、用戶組視圖、本地用戶視圖下配置相關參數,其生效優先級從高到低依次為:本地用戶視圖->用戶組視圖->係統視圖。
網絡接入類用戶支持的密碼管理功能僅包括:配置密碼最小長度、配置密碼的複雜度檢查策略、配置密碼的組合策略、配置密碼更新的最小時間間隔、配置每個用戶密碼曆史記錄的最大條數。其中對密碼最小長度、密碼複雜度檢查策略以及密碼組合策略的配置,可分別在係統視圖、用戶組視圖、本地用戶視圖下配置相關參數,其生效優先級從高到低依次為:本地用戶視圖->用戶組視圖->係統視圖。
開啟全局密碼管理功能後,係統會持續記錄曆史密碼。當記錄的某用戶的曆史密碼條數達到最大值後,該用戶的後續新密碼曆史記錄將覆蓋最老的一條密碼曆史記錄。隻有關閉全局密碼管理功能(undo password-control enable)或手動清除曆史密碼記錄時(reset password-control history-record),曆史密碼記錄才會被清除掉。
除用戶登錄嚐試失敗後的行為配置屬於即時生效的配置,會在配置生效後立即影響密碼管理黑名單中當前用戶的鎖定狀態以及這些用戶後續的登錄之外,其它全局密碼管理配置生效後僅對後續登錄的用戶以及後續設置的用戶密碼有效,不影響當前用戶。
(1) 進入係統視圖。
system-view
(2) 控製密碼設置
¡ 配置用戶密碼的最小長度。
password-control length length
缺省情況下,用戶密碼的最小長度為10個字符。
¡ 配置用戶密碼的組合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情況下,密碼元素的最少組合類型為2種,至少要包含每種元素的個數為1。
¡ 配置用戶密碼的複雜度檢查策略。
password-control complexity { same-character | user-name } check
缺省情況下,對用戶密碼中是否包含用戶名或者在字符順序顛倒的用戶名進行檢查,但對用戶密碼中是否包含連續三個或以上的相同字符不進行檢查。
¡ 配置每個用戶密碼曆史記錄的最大條數。
password-control history max-record-number
缺省情況下,每個用戶密碼曆史記錄的最大條數為4條。
(3) 管理密碼更新與老化
¡ 配置用戶密碼更新的最小時間間隔。
password-control update-interval interval
缺省情況下,用戶密碼更新的最小時間間隔為24小時。
¡ 配置用戶密碼的老化時間。
password-control aging aging-time
缺省情況下,用戶密碼的老化時間為90天。
¡ 配置密碼過期前的提醒時間。
password-control alert-before-expire alert-time
缺省情況下,密碼過期前的提醒時間為7天。
¡ 配置密碼過期後允許用戶登錄的時間和次數。
password-control expired-user-login delay delay times times
缺省情況下,密碼過期後的30天內允許用戶登錄3次。
(4) 控製用戶登錄
¡ 配置密碼管理黑名單中同一用戶名可記錄的最大表項數。
password-control per-user blacklist-limit max-number
缺省情況下,密碼管理黑名單中同一用戶名可記錄的最大表項數為32。
¡ 配置用戶登錄嚐試次數以及登錄嚐試失敗後的行為。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情況下,用戶登錄嚐試次數為3次;如果用戶登錄失敗,則1分鍾後再允許該用戶重新登錄。
¡ 配置用戶賬號的閑置時間。
password-control login idle-time idle-time
缺省情況下,用戶賬號的閑置時間為90天。
¡ 關閉首次登錄修改密碼功能。
undo password-control change-password first-login enable
¡ 開啟弱密碼登錄修改密碼功能。
password-control change-password weak-password enable
缺省情況下,弱密碼登錄修改密碼功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 創建用戶組,並進入用戶組視圖。
user-group group-name
缺省情況下,不存在任何用戶組。
用戶組的相關配置請參見“用戶接入與認證配置指導”中的“AAA”。
(3) 配置用戶組的密碼老化時間。
password-control aging aging-time
缺省情況下,采用全局密碼老化時間。
(4) 配置用戶組的密碼最小長度。
password-control length length
缺省情況下,采用全局密碼最小長度。
(5) 配置用戶組密碼的組合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情況下,采用全局密碼組合策略。
(6) 配置用戶組密碼的複雜度檢查策略。
password-control complexity { same-character | user-name } check
缺省情況下,采用全局密碼複雜度檢查策略。
(7) 配置用戶組登錄嚐試次數以及登錄嚐試失敗後的行為。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情況下,采用全局的用戶登錄嚐試限製策略。
(1) 進入係統視圖。
system-view
(2) 創建設備管理類或網絡接入類本地用戶,並進入本地用戶視圖。
¡ 創建設備管理類本地用戶,並進入本地用戶視圖
local-user user-name class manage
¡ 創建網絡接入類本地用戶,並進入本地用戶視圖。
local-user user-name class network
缺省情況下,不存在任何本地用戶。
本地用戶的相關配置請參見“用戶接入與認證配置指導”中的“AAA”。
(3) 配置本地用戶的密碼老化時間。
password-control aging aging-time
缺省情況下,采用本地用戶所屬用戶組的密碼老化時間。
(4) 配置本地用戶的密碼最小長度。
password-control length length
缺省情況下,采用本地用戶所屬用戶組的密碼最小長度。
(5) 配置本地用戶的密碼組合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情況下,采用本地用戶所屬用戶組的密碼組合策略。
(6) 配置本地用戶密碼的複雜度檢查策略。
password-control complexity { same-character | user-name } check
缺省情況下,采用本地用戶所屬用戶組的密碼複雜度檢查策略。
(7) 配置本地用戶登錄嚐試次數以及登錄嚐試失敗後的行為。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情況下,采用本地用戶所屬用戶組的用戶登錄嚐試限製策略。
(1) 進入係統視圖。
system-view
(2) 配置super密碼的老化時間。
password-control super aging aging-time
缺省情況下,密碼的老化時間為90天。
(3) 配置super密碼的最小長度。
password-control super length length
缺省情況下,密碼的最小長度為10個字符。
(4) 配置super密碼的組合策略。
password-control super composition type-number type-number [ type-length type-length ]
缺省情況下,密碼的元素最少組合至少為2種,至少要包含每種元素的個數為1個。
可在任意視圖下執行以下命令,顯示密碼管理的配置信息。
display password-control [ super ]
可在任意視圖下執行以下命令,顯示用戶認證失敗後,被加入密碼管理黑名單中的用戶信息。
display password-control blacklist [ user-name user-name | ip ipv4-address | ipv6 ipv6-address ]
請在用戶視圖下執行以下命令,清除密碼管理黑名單中的用戶。
reset password-control blacklist [ user-name user-name ]
請在用戶視圖下執行以下命令,清除用戶的密碼曆史記錄。
reset password-control history-record [ super [ role role-name ] | user-name user-name | network-class [ user-name user-name ] ]
有以下密碼管理需求:
· 全局密碼管理策略:用戶2次登錄失敗後就永久禁止該用戶通過現有的IP地址登錄;最小密碼長度為16個字符,密碼老化時間為30天;允許用戶進行密碼更新的最小時間間隔為36小時;密碼過期後60天內允許登錄5次;用戶賬號的閑置時間為30天;不允許密碼中包含用戶名或者字符順序顛倒的用戶名;不允許密碼中包含連續三個或以上相同字符;密碼元素的最少組合類型為4種,至少要包含每種元素的個數為4個。
· 切換到用戶角色network-operator時使用的super密碼管理策略:最小密碼長度為24個字符,密碼元素的最少組合類型為4種,至少要包含每種元素的個數為5個。
· 本地Telnet用戶test的密碼管理策略:最小密碼長度為24個字符,密碼元素的最少組合類型為4種,至少要包含每種元素的個數為5個,密碼老化時間為20天。
# 開啟全局密碼管理功能。
<Sysname> system-view
[Sysname] password-control enable
# 配置用戶2次登錄失敗後就永久禁止該用戶通過現有的IP地址登錄。
[Sysname] password-control login-attempt 2 exceed lock
# 配置全局的密碼老化時間為30天。
[Sysname] password-control aging 30
# 配置全局的密碼的最小長度為16。
[Sysname] password-control length 16
# 配置密碼更新的最小時間間隔為36小時。
[Sysname] password-control update-interval 36
# 配置用戶密碼過期後的60天內允許登錄5次。
[Sysname] password-control expired-user-login delay 60 times 5
# 配置用戶賬號的閑置時間為30天。
[Sysname] password-control login idle-time 30
# 開啟在配置的密碼中檢查包含用戶名或者字符順序顛倒的用戶名的功能。
[Sysname] password-control complexity user-name check
# 開啟在配置的密碼中檢查包含連續三個或以上相同字符的功能。
[Sysname] password-control complexity same-character check
#配置全局的密碼元素的最少組合類型為4種,至少要包含每種元素的個數為4個。
[Sysname] password-control composition type-number 4 type-length 4
# 配置super密碼的最小長度為24。
[Sysname] password-control super length 24
# 配置super密碼元素的最少組合類型為4種,至少要包含每種元素的個數為5個。
[Sysname] password-control super composition type-number 4 type-length 5
# 配置切換到用戶角色network-operator時使用的super密碼為明文123456789ABGFTweuix@#$%!。
[Sysname] super password role network-operator simple 123456789ABGFTweuix@#$%!
# 添加設備管理類本地用戶test。
[Sysname] local-user test class manage
# 配置本地用戶的服務類型為Telnet。
[Sysname-luser-manage-test] service-type telnet
# 配置本地用戶的最小密碼長度為24個字符。
[Sysname-luser-manage-test] password-control length 24
# 配置本地用戶的密碼元素的最少組合類型為4種,至少要包含每種元素的個數為5個。
[Sysname-luser-manage-test] password-control composition type-number 4 type-length 5
# 配置本地用戶的密碼老化時間為20天。
[Sysname-luser-manage-test] password-control aging 20
# 以交互式方式配置本地用戶密碼。
[Sysname-luser-manage-test] password
Password:
Confirm :
Updating user information. Please wait ... ...
[Sysname-luser-manage-test] quit
# 可通過如下命令查看全局密碼管理的配置信息。
<Sysname> display password-control
Global password control configurations:
Password control: Enabled(device management users)
Disabled (network access users)
Password aging: Enabled (30 days)
Password length: Enabled (16 characters)
Password composition: Enabled (4 types, 4 characters per type)
Password history: Enabled (max history record:4)
Early notice on password expiration: 7 days
Maximum login attempts: 2
Action for exceeding login attempts: Lock
Password history was last reset: 0 days ago (device management users)
0 days ago (network access users)
Minimum interval between two updates: 36 hours
User account idle time: 30 days
Logins with aged password: 5 times in 60 days
Password complexity: Enabled (username checking)
Enabled (repeated characters checking)
Password change: Enabled (first login)
Disabled (mandatory weak password change)
# 可通過如下命令查看super密碼管理的配置信息。
<Sysname> display password-control super
Super password control configurations:
Password aging: Enabled (90 days)
Password length: Enabled (24 characters)
Password composition: Enabled (4 types, 5 characters per type)
# 可通過如下命令查看到本地用戶密碼管理的配置信息。
<Sysname> display local-user user-name test class manage
Total 1 local users matched.
Device management user test:
State: Active
Service type: Telnet
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-operator
Password control configurations:
Password aging: 20 days
Password length: 24 characters
Password composition: 4 types, 5 characters per type
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
