管理員

本幫助主要介紹以下內容：

特性簡介
vSystem相關說明
使用限製和注意事項
配置指南

特性簡介

管理員通過SSH、Telnet、FTP、HTTP、HTTPS、終端接入（即從Console口接入）方式登錄到設備上之後，可以對設備進行配置和管理。對登錄用戶的管理和維護主要涉及以下幾個部分：

賬戶管理：對用戶的基本信息（用戶名、密碼）以及相關屬性的管理。
角色管理：對用戶可執行的係統功能的管理。
密碼管理：對用戶密碼設置控製、密碼更新與老化以及用戶登錄控製等方麵進行管理。

賬戶管理

為使請求某種服務的用戶可以成功登錄設備，需要在設備上添加相應的賬戶。所謂用戶，是指在設備上設置的一組用戶屬性的集合，該集合以用戶名唯一標識。一個有效的用戶條目中可包括用戶名、密碼、角色、可用服務、密碼管理等屬性。

角色管理

對登錄用戶權限的控製，是通過為用戶賦予一定的角色來實現。一個角色中定義了允許用戶執行的係統功能，例如，定義用戶角色規則允許用戶配置A功能，或禁止用戶配置B功能。

角色規則

一個角色規則中定義了允許/禁止用戶操作某類實體的權限。

Web界麵支持的實體類型為Web菜單，即通過Web對設備進行配置時，各配置頁麵以Web菜單的形式組織，按照層次關係，形成多級菜單的樹形結構。

對實體的操作權限包括：

讀權限：可查看指定實體的配置信息和維護信息。
寫權限：可配置指定實體的相關功能和參數。
執行權限：可執行特定的功能，如與FTP服務器建立連接。

定義一個規則，就等於約定允許或禁止用戶針對某類實體具有哪些操作權限。對於Web菜單實體，控製Web菜單的規則就是用來控製指定的Web菜單選項是否允許被操作。因為每個菜單項中的操作控件具有相應的讀，寫或執行屬性，所以定義基於Web菜單的規則時，可以精細地控製菜單項中讀、寫或執行控件的操作。

缺省角色

係統預定義了多種角色，角色名和對應的權限如表-1所示。這些缺省角色均具有不同的係統功能操作權限。如果係統預定義的用戶角色無法滿足權限管理需求，管理員還可以自定義用戶角色來對用戶權限做進一步控製。

表-1 係統預定義的角色名和對應的權限

角色名	權限
超級管理員	超級管理員擁有操作設備所有功能的權限
安全管理員	安全管理員擁有配置安全業務功能和監控安全業務處理狀態的權限
審計管理員	審計管理員僅擁有審計設備操作的權限
係統管理員	係統管理員擁有配置設備係統功能和監控設備運行狀態的權限
虛擬設備超級管理員	虛擬設備超級管理員擁有操作虛擬設備所有功能的權限虛擬設備超級管理員的支持情況與設備型號有關，請以設備的實際情況為準
虛擬係統超級管理員	虛擬係統超級管理員擁有操作虛擬係統所有功能的權限虛擬係統超級管理員的支持情況與設備型號有關，請以設備的實際情況為準

為用戶賦予角色

根據用戶認證登錄方式的不同，為用戶授權角色分為以下幾類：

對於通過本地AAA認證登錄設備的用戶，由本地用戶配置決定為其授權的用戶角色。

對於通過AAA遠程認證登錄設備的用戶，由AAA服務器的配置決定為其授權的用戶角色。

將有效的角色成功授權給用戶後，登錄設備的用戶才能以各角色所具有的權限來配置、管理或者監控設備。如果用戶沒有被授權任何角色，將無法成功登錄設備。

一個用戶同時隻能擁有一個角色。

密碼管理

為了提高用戶登錄密碼的安全性，可通過定義密碼管理策略對用戶的登錄密碼進行管理，並對用戶的登錄狀態進行控製。

密碼長度檢查

管理員可以限製用戶密碼的最小長度。當設置用戶密碼時，如果輸入的密碼長度小於設置的密碼最小長度，係統將不允許設置該密碼。缺省情況下，密碼的最小長度為10個字符。

密碼複雜度檢查

為確保用戶的登錄密碼具有較高的複雜度，要求管理員為其設置的密碼必須符合一定的複雜度要求，隻有符合要求的密碼才能設置成功。目前，可配置的複雜度要求包括：

不允許密碼中包含用戶名或顛倒的用戶名。例如，用戶名為“abc”，那麼“abc982”或者“2cba”之類的密碼就不符合複雜度要求。

本功能在本地用戶密碼管理界麵和全局密碼管理界麵均開啟才生效

不允許密碼中包含連續三個或以上的相同字符。例如，密碼“a111”就不符合複雜度要求。

本功能在本地用戶密碼管理或全局密碼管理界麵任一位置開啟都生效

密碼組合檢查

管理員可以設置用戶密碼的組成元素的組合類型，以及至少要包含每種元素的個數。

本功能需在全局密碼管理對應功能開啟的情況下，本地用戶密碼管理下的配置才生效

密碼的組成元素包括以下4種類型：

[A～Z]
[a～z]
[0～9]
32個特殊字符（空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./）

密碼元素的組合類型有4種，具體涵義如下：

組合類型為1表示密碼中至少包含1種元素；
組合類型為2表示密碼中至少包含2種元素；
組合類型為3表示密碼中至少包含3種元素；
組合類型為4表示密碼中包含4種元素。

當用戶設置密碼時，係統會檢查設定的密碼是否符合配置要求，隻有符合要求的密碼才能設置成功。

密碼更新

管理員可以設置用戶登錄設備後修改自身密碼的最小間隔時間。有兩種情況下的密碼更新並不受該功能的約束：開啟密碼管理後，用戶首次登錄設備時係統要求用戶修改密碼和密碼老化後係統要求用戶修改密碼。

密碼老化

當用戶登錄密碼的使用時間超過密碼老化時間後，需要用戶更換密碼。如果用戶輸入的新密碼不符合要求，或連續兩次輸入的新密碼不一致，係統將要求用戶重新輸入。對於FTP用戶，密碼老化後，隻能由管理員修改FTP用戶的密碼；對於Telnet、SSH、Terminal（通過Console口登錄設備）用戶可自行修改密碼。缺省情況下，密碼的老化時間為90天。

本功能需在全局密碼管理對應功能開啟的情況下，本地用戶密碼管理下的配置才生效

密碼過期提醒

在用戶登錄時，係統會判斷其密碼距離過期的時間是否在設置的提醒時間範圍內。如果在提醒時間範圍內，係統會提示該密碼還有多久過期，並詢問用戶是否修改密碼。如果用戶選擇修改，則記錄新的密碼及其設定時間。如果用戶選擇不修改或者修改失敗，則在密碼未過期的情況下仍可以正常登錄。對於FTP用戶，隻能由管理員修改FTP用戶的密碼；對於Telnet、SSH、Terminal（通過Console口登錄設備）用戶可自行修改密碼。

密碼過期後允許登錄

管理員可以設置用戶密碼過期後在指定的時間內還能登錄設備的次數。這樣，密碼老化的用戶不需要立即更新密碼，依然可以登錄設備。例如，管理員設置密碼老化後允許用戶登錄的時間為15天、次數為3次，那麼用戶在密碼老化後的15天內，還能繼續成功登錄3次。

密碼曆史記錄

管理員可以設置係統保存用戶密碼曆史記錄。當用戶修改密碼時，係統會要求用戶設置新的密碼，如果新設置的密碼以前使用過，且在當前用戶密碼曆史記錄中，係統將提示用戶密碼更改失敗。另外，用戶更改密碼時，係統會將新設置的密碼與所有曆史記錄密碼以及當前密碼逐一比較，要求新密碼至少與舊密碼有4字符不同。並且，這4個字符必須互不相同，否則密碼更改失敗。

可以配置每個用戶密碼曆史記錄的最大條數，當密碼曆史記錄的條數超過配置的最大曆史記錄條數時，新的密碼曆史記錄將覆蓋該用戶最老的一條密碼曆史記錄。

由於設備管理類本地用戶配置的密碼在哈希運算後以密文的方式保存，配置一旦生效後就無法還原為明文密碼，因此，設備管理類本地用戶的當前登錄密碼不會被記錄到密碼曆史記錄中。

密碼嚐試次數限製

密碼嚐試次數限製可以用來防止惡意用戶通過不斷嚐試來破解密碼。

本功能需在全局密碼管理對應功能開啟的情況下，本地用戶密碼管理下的配置才生效

每次用戶認證失敗後，係統會將該用戶加入密碼管理的黑名單。可加入密碼管理功能黑名單的用戶包括：FTP用戶和通過VTY方式訪問設備的用戶。不會加入密碼管理功能黑名單的用戶包括：用戶名不存在的用戶、通過Console口連接到設備的用戶。

當用戶連續嚐試認證的失敗累加次數達到用戶登錄嚐試的最大次數時，係統對用戶的後續登錄行為有以下三種處理措施：

永久禁止登錄。隻有管理員把該用戶從密碼管理的黑名單中刪除後，該用戶才能重新登錄。
暫時禁止登錄。當配置的禁止時間超時或者管理員將其從密碼管理的黑名單中刪除，該用戶才可以重新登錄。
允許繼續登錄。在該用戶登錄成功後，該用戶會從密碼管理的黑名單中刪除。

缺省情況下，用戶登錄嚐試次數為3次。如果用戶登錄失敗，則允許該用戶在1分鍾後重新登錄。

賬號閑置時間管理

管理員可以限製用戶賬號的閑置時間。管理員用戶創建後，需要成功登錄一次設備，賬號閑置時間才能生效，在配置的閑置時間內，用戶從未成功登錄，該用戶將被鎖定，無法登錄。

弱密碼管理

若管理員設置的密碼為弱密碼，無論密碼管理是否開啟，設備都在用戶登錄時彈框提示，建議修改密碼。

弱密碼的判斷條件包括以下幾項，隻要其中一項不符合，係統就識別為弱密碼：

密碼長度檢查。有關此項詳細介紹，請參見上文中的“密碼長度檢查”。
密碼組合檢查。有關此項詳細介紹，請參見上文中的“密碼組合檢查”。
密碼中不能包括用戶名或者字符順序顛倒的用戶名。有關此項詳細介紹，請參見上文中的“密碼複雜度檢查”。
不允許密碼中包含連續三個或以上的相同字符。此項弱密碼判斷條件僅當密碼管理功能開啟後才生效。有關此項詳細介紹，請參見上文中的“密碼複雜度檢查”。

可以根據實際使用場景，開啟“弱密碼時強製修改密碼”功能。本功能僅對後續新登錄的用戶生效，不影響當前已登錄用戶。當用戶使用弱密碼登錄，若未開啟本功能，係統僅在登錄時彈框建議修改弱密碼，但不強製。用戶可以忽略提示，繼續登錄設備。若開啟了本功能，係統會強製要求修改為非弱密碼才允許登錄設備。管理員開啟“弱密碼時強製修改密碼”功能時，必須至少配置一項弱密碼判斷條件。

RBM同步功能

當RBM處於主備或雙主運行模式時，設備默認不支持同步本地管理類用戶的配置信息，如需同步配置信息，則需要開啟RBM同步功能。具體配置步驟如下：

選擇“係統 > 管理員 > 管理員”。
在“管理員”頁麵，單擊<開啟RBM同步功能>按鈕。
在彈出的確認框中單擊<確定>按鈕，完成配置。

開啟RBM同步功能後，主設備會向備設備發起一次本地管理類用戶相關配置和數據的平滑同步，從而使備設備的本地管理類用戶相關配置和數據與主設備一致。

當RBM處於鏡像運行模式時，設備默認支持同步本地管理類用戶的配置信息，不需要開啟RBM同步功能。

開啟RBM同步功能前，需要先配置RBM自動同步配置信息功能，有關該功能的詳細介紹，請參見雙機熱備模塊的相關說明。

vSystem相關說明

非缺省vSystem對於本特性的支持情況，請以頁麵的實際顯示為準。

使用限製和注意事項

管理員密碼管理界麵下的配置為全局配置，對所有用戶生效。新建或修改指定管理員界麵下的配置本文稱之為本地用戶密碼管理配置，隻對當前用戶生效。本地用戶密碼管理中的配置優先級高於全局配置。
當前用戶登錄密碼嚐試失敗次數到配置的最大值後，無法使用自己的IP地址訪問設備。
修改後的規則對於當前已經在線的用戶不生效，對於之後使用該角色登錄設備的用戶生效。
若要使得具體的密碼管理功能生效，需在管理員頁麵菜單欄的<密碼管理>中開啟密碼管理功能。
管理員頁麵和本地用戶頁麵中的密碼管理部分功能相互關聯且參數共用，具體可參見管理員頁麵<密碼管理>中各配置欄的提示信息。
開啟密碼管理之後，設置的登錄用戶密碼必須至少由四個不同的字符組成。
對於FTP用戶，密碼過期後，係統不允許其繼續登錄，也不允許FTP用戶自行更改密碼，隻能由管理員修改FTP用戶的密碼。
由於FTP用戶不支持計費，因此FTP用戶不受同時在線最大用戶數限製。

配置指南

新建管理員

新建管理員的具體配置步驟如下：

選擇“係統 > 管理員 > 管理員”。

在“管理員”頁麵配置相關內容，具體配置內容如下所示：

圖-1 管理員頁麵

圖-2 新建管理員

表-2 管理員參數配置

參數	說明
用戶名	設備管理類用戶，用於登錄設備，對設備進行配置和監控
密碼和確認密碼	用戶進行接入認證所使用的密碼
管理員角色	對登錄用戶權限的控製，是通過為用戶賦予一定的角色來實現。不同的管理員角色擁有不同的係統功能
用戶組	每一個用戶都屬於一個用戶組，並繼承組中的所有屬性
可用服務	指用戶可使用的服務類型。該屬性是本地認證的檢測項，如果沒有用戶可以使用的服務類型，則該用戶無法通過認證
同時在線最高值	使用當前用戶名接入設備的最大用戶數目。若當前該用戶名的接入用戶數已達最大值，則使用該用戶名的新用戶將被禁止接入
FTP目錄	授權用戶可以訪問的目錄，且該目錄必須已經存在

（可選）高級設置，具體包括如下所示：

圖-3 高級設置

表-3 高級設置參數表

參數	說明
密碼最小長度	限製設置密碼的最小長度
密碼組成元素的最少類型	選擇密碼包含的種類個數
每種類型最少包含個數	每種類型密碼包含的個數當沒有填寫密碼組成元素的最少類型時，此功能不支持
開啟密碼老化	開啟設備密碼老化功能，超過設定的時間後需要用戶修改密碼
密碼老化時間	當密碼的使用時間超過老化時間後，需要用戶更換密碼，此功能需要在密碼管理中開啟相關功能才能生效
不允許密碼中包含用戶名或顛倒的用戶名	密碼中禁止出現用戶名或顛倒的用戶名相關字符
不允許密碼中包含連續三個或以上相同的字符	密碼中禁止連續出現三個或三個以上的相同字符，此功能需要在密碼管理中開啟相關功能才能生效
用戶登錄嚐試的最大次數	當前用戶嚐試登錄的最大次數，可在後續選擇登錄失敗的處理方式，此功能需要在密碼管理中開啟相關功能才能生效
登錄次數超過最大值後的處理方式	永久禁止登錄在指定時間內禁止登錄允許繼續登錄當沒有填寫用戶嚐試登錄的最大次數時，此功能不支持
禁止登錄時長	禁止用戶登錄設備的時長

單擊<確定>按鈕，新建管理員成功，且會在“管理員”頁麵中顯示。

配置管理員密碼管理功能

單擊“係統 > 管理員 > 管理員”。
在“管理員”頁麵單擊<密碼管理>按鈕，進入“管理員密碼管理”頁麵。
圖-4 管理員頁麵

圖-5 管理員密碼管理

在“管理員密碼管理”頁麵的具體配置內容如下所示：

表-4 密碼管理參數配置

參數	說明
開啟密碼管理	開啟全局登錄密碼的一些相關配置
開啟密碼長度檢查	開啟密碼最小長度管理功能
用戶密碼的最小長度為	限製設置密碼的最小長度
開啟密碼組合檢查	開啟密碼的組合檢測管理功能
密碼組成元素的類型至少包含	選擇密碼組成元素包含的種類個數
每種類型包含的元素個數至少為	每種類型密碼包含的元素個數
密碼中不能包含連續三個或以上相同的相同字符	全局開啟密碼中禁止連續出現三個或三個以上的相同字符
密碼中不能包含用戶名或者字符順序顛倒的用戶名	全局開啟密碼中禁止出現用戶名或顛倒的用戶名相關字符
開啟密碼曆史記錄	開啟密碼曆史記錄檢測管理功能
密碼曆史記錄最大條數	係統記錄某用戶曆史密碼的最大條數，達到最大值後，會覆蓋最老的一條密碼曆史記錄
開啟密碼老化	開啟設備密碼老化功能，超過設定的時間後需要用戶修改密碼
密碼老化時間	配置密碼老化的時間
密碼過期提醒	密碼過期前的提醒時間
密碼過期後允許用戶登錄的時間	密碼過期後可以在設置的時間內繼續登錄
密碼過期後允許用戶登錄的次數	密碼過期後可以繼續登錄的次數
密碼更新最小間隔時間	密碼更新的最小時間間隔，0表示對密碼更新的時間間隔無限製
密碼嚐試次數	設置用戶登錄設備嚐試登錄的最大次數
登錄失敗處理	登錄次數超過密碼嚐試次數後，可選擇永久禁止登錄、暫時禁止登錄和允許繼續登錄
賬號閑置時間	管理員賬號閑置時間，管理員用戶創建後，需要成功登錄一次設備，賬號閑置時間才能生效，在配置的閑置時間內，用戶從未成功登錄，該用戶將被鎖定，無法登錄
弱密碼時強製修改密碼	開啟此功能後，如果當前用戶密碼符合弱密碼的判斷條件，會被強製修改密碼

單擊<確定>按鈕，完成密碼管理的配置。

新建管理員角色

選擇“係統 > 管理員 > 管理員角色”。

在“管理員角色”頁麵單擊<新建>按鈕，進入新建管理員角色頁麵，具體配置內容如下所示：

圖-6 管理員角色頁麵

圖-7 新建管理員角色

表-5 管理員角色配置

參數	說明
名稱	管理員角色名，不可使用設備中的關鍵字作為名稱
描述	配置有關此管理員角色的描述信息
權限控製項	此權限控製項，將Web菜單界麵，按照層次關係形成多級菜單的樹形結構，通過控製菜單項中讀寫、隻讀或無的操作，來完成管理員角色權限的定製

單擊<確定>按鈕，完成新建管理員角色的配置。