- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-Password Control配置
本章節下載: 08-Password Control配置 (226.49 KB)
Password Control功能的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
Password Control(密碼管理)是本地認證服務器提供的密碼安全功能,它根據管理員設置的安全策略對用戶的登錄密碼、super密碼和用戶的登錄狀態進行控製。密碼管理功能實現的密碼安全策略包括:
根據係統安全需求不同,管理員可以設置用戶密碼的最小長度。當用戶設置用戶密碼時,如果輸入的密碼長度小於設置的最小長度,係統將不允許設置該密碼,此時將顯示出錯信息,提醒用戶重新輸入密碼。
管理員可以根據係統安全需求,設置用戶登錄設備後修改自身密碼的最小間隔時間。當非管理級別的用戶登錄設備修改自身密碼時,如果距離上次修改密碼的時間間隔小於配置值,則係統不允許修改密碼。例如,管理員配置用戶密碼更新間隔時間為48小時,那麼用戶在上次修改密碼後的48小時之內都無法成功進行密碼修改操作。這樣可以有效防止登錄用戶頻繁進行修改密碼的操作。
密碼老化時間用來限製用戶密碼的使用時間。當密碼的使用時間超過老化時間超時後,需要用戶更換密碼。
當用戶登錄時,如果用戶輸入已經過期的密碼,係統將提示該密碼已經過期,需要重新設置密碼。如果輸入的新密碼不符合要求,或連續兩次輸入的新密碼不一致,係統將要求用戶重新輸入。
在密碼老化管理和密碼過期提醒這兩項功能中,不允許FTP用戶更改密碼,隻能通過管理員修改FTP用戶的密碼;允許Telnet、SSH、Terminal(通過Console或AUX登錄設備)用戶自行修改密碼。
管理員可以設置用戶密碼過期後在指定的時間內還能登錄設備指定的次數。這樣,密碼老化的用戶不需要立即更新密碼,依然可以登錄設備。例如,管理員設置密碼老化後允許用戶登錄的時間為15天、次數為3次,那麼用戶在密碼老化後的15天內,還能繼續成功登錄3次。這樣允許密碼過期的用戶登錄設備時不需要立即更新密碼。
當用戶修改密碼時,係統會要求用戶設置新的密碼,舊的密碼將被記錄下來,形成該用戶的密碼曆史記錄。如果用戶新設置的密碼以前被使用過,係統將給出錯誤提示,密碼更改失敗。另外,用戶更改密碼時,係統會將新設置的密碼逐一與所有曆史密碼相比較,要求新密碼至少要與舊密碼有4字符不同,且這4個字符必須互不相同,否則密碼更改失敗。
可以配置每個用戶密碼曆史記錄的最大條數,當密碼曆史記錄的條數超過配置的最大曆史記錄條數時,新的密碼曆史記錄將覆蓋該用戶最老的一條密碼曆史記錄。
密碼嚐試次數限製可以用來防止惡意用戶通過不斷嚐試來破解密碼。
每次用戶認證失敗後,係統會將該用戶加入密碼管理的黑名單。當用戶連續嚐試認證的失敗累加次數達到設置的嚐試次數時,通過設置可以有三種選擇:
· 永久禁止該用戶登錄。隻有管理員把該用戶從密碼管理的黑名單中刪除後,該用戶才能重新登錄。
· 不對該用戶做禁止,允許其繼續登錄。在該用戶登錄成功或者密碼管理黑名單的老化時間(係統規定為1分鍾)超時後,該用戶會從該黑名單中被刪除。
· 禁止該用戶一段時間後,再允許其重新登錄。當配置的禁止時間超時或者管理員將其從密碼管理的黑名單中刪除,該用戶才可以重新登錄。
· 密碼管理的黑名單的最大條數為1024。不存在的用戶進行登錄認證時將失敗,但不將該用戶加入黑名單中。
· FTP用戶和通過VTY方式訪問設備的用戶在認證失敗後,會被加入密碼管理的黑名單。
· 通過Console或AUX連接到設備的用戶,由於係統無法獲得其IP地址,且通過這兩種方式訪問設備的用戶已經具備了一定的權限和安全性,所以認證失敗後不會被加入密碼管理的黑名單。
根據係統安全需求不同,管理員可以設置用戶密碼的組成元素的組合類型,以及至少要包含每種元素的個數。密碼的組成元素包括以下4種:
· [A~Z]
· [a~z]
· [0~9]
· 32個特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密碼元素的組合級別為1~4級,級別表示設置密碼時至少要包含的密碼元素種類數目:
· 1表示密碼中至少包含1種元素;
· 2表示密碼中至少包含2種元素;
· 3表示密碼中至少包含3種元素;
· 4表示密碼中包含4種元素。
當用戶設定或修改密碼時,係統檢查設定的密碼是否符合配置要求。如果不符合,將給出錯誤提示。
在FIPS模式下,密碼元素的組合級別必須為4。
· 密碼中不能包含用戶名或者顛倒的用戶名。例如,用戶名為“abc”,那麼“abc982”或者“2cba”之類的密碼就不符合複雜度要求。
· 密碼中不能包含連續三個或以上的相同字符。例如,密碼“a111”就不符合複雜度要求。
認證超時管理隻針對Telnet用戶和Terminal用戶。
認證過程的時間為:從服務器獲得用戶名到該用戶的密碼驗證結束的時間。用戶如果在規定時間內沒有完成認證,則認證失敗,用戶連接將被斷開。
根據係統安全需求,管理員可以限製用戶帳號的閑置時間,禁止在閑置時間之內始終處於不活動狀態的用戶登錄。若用戶自從最後一次成功登錄之後,在配置的閑置時間內再未成功登錄過,那麼該閑置時間到達之後此用戶賬號立即失效,係統不再允許使用該用戶賬號登錄。例如,管理員配置用戶帳號的閑置時間為60天,如果用戶名為test的用戶自最後一次成功登錄之後的60天內,都未成功登錄過設備,那麼該用戶帳號test就會失效。
係統對用戶成功修改密碼事件和用戶登錄失敗加入密碼管理黑名單事件有相應的日誌記錄。
本特性的各功能可支持在多個視圖下配置,各視圖可支持的功能不同。而且,相同功能的命令在不同視圖下或針對不同密碼時有效範圍有所不同,具體情況如下:
· 係統視圖下的全局配置對所有本地用戶密碼和super密碼都有效;
· 用戶組視圖下的配置隻對當前用戶組內的所有本地用戶密碼有效;
· 為super密碼的各管理參數所作的配置隻對super密碼有效。
· 對於本地用戶密碼的各管理參數來說,其生效的優先級順序由高到底依次為本地用戶視圖、用戶組視圖、係統視圖。
· 對於super密碼的各管理參數來說,係統優先采用單獨為super密碼所作的單獨配置;如果沒有為super密碼進行單獨配置時,采用全局配置。
表1-1 Password Control配置任務簡介
|
配置super密碼管理 |
||
(1) 使能全局密碼管理功能。隻有使能全局密碼管理功能後,密碼管理相關的配置才能生效。
(2) 使能指定的密碼管理功能。某些密碼安全策略在使能全局密碼管理功能後,還需要單獨使能指定的密碼管理功能才能生效。這些密碼管理功能包括:
|
password-control { aging | composition | history | length } enable |
使能了全局密碼管理功能後,設備上已配置的本地用戶密碼將不被顯示,即無法通過相應的display命令查看本地用戶密碼。
|
password-control composition type-number policy-type [ type-length type-length ] |
缺省情況下,密碼元素的組合類型至少為1種,至少要包含每種元素的個數為1個 在FIPS模式下,密碼元素的組合類型至少為4種,至少要包含每種元素的個數為1個 |
|
|
password-control complexity { same-character | user-name } check |
||
|
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ] |
缺省情況下,用戶登錄嚐試次數為3次;如果用戶登錄失敗,則1分鍾後再允許該用戶重新登錄 |
|
|
缺省情況下,密碼過期後的30天內允許用戶登錄3次 |
||
|
password-control authentication-timeout authentication-timeout |
||
|
FIPS模式下,密碼長度至少為8位 非FIPS模式下,密碼長度至少為4位 |
||
|
password-control composition type-number type-number [ type-length type-length ] |
在FIPS模式下,type-number取值必須為4 |
|
缺省情況下,采用本地用戶所屬用戶組的密碼最小長度,若用戶組未配置該值,則采用全局配置 FIPS模式下,密碼長度至少為8位 非FIPS模式下,密碼長度至少為4位 |
||
|
password-control composition type-number type-number [ type-length type-length ] |
缺省情況下,采用本地用戶所屬用戶組的密碼組合策略,若用戶組未配置該值,則采用全局配置 在FIPS模式下,type-number取值必須為4 |
· 係統命令行采用分級保護方式:命令行級別由低到高被劃分為訪問級、監控級、係統級、管理級4個級別。同時對登錄用戶劃分等級,分為4級,分別與上述的命令行級別對應,即不同級別的用戶登錄後,隻能使用等於或低於自己級別的命令。
· 為了防止未授權用戶的非法侵入,在從低級別用戶切換到高級別用戶時,要進行用戶身份驗證,即需要輸入高級別用戶密碼,這個高級別的密碼就被稱為super密碼。關於super密碼的詳細介紹,請參見“基礎配置指導”中的“CLI”。
|
配置super密碼的老化時間 |
缺省情況下,super密碼的老化時間為全局密碼老化時間 |
|
|
配置super密碼的最小長度 |
缺省情況下,super密碼的最小長度為全局密碼最小長度 FIPS模式下,密碼長度至少為8位 非FIPS模式下,密碼長度至少為4位 |
|
|
配置super密碼的組合策略 |
password-control super composition type-number type-number [ type-length type-length ] |
缺省情況下,super密碼組合策略為全局密碼組合策略 在FIPS模式下,type-number取值必須為4 |
以交互方式設置本地用戶密碼時會要求用戶在輸入本地密碼後進行密碼確認。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Password Control的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Password Control統計信息。
|
display password-control [ super ] [ | { begin | exclude | include } regular-expression ] |
|
|
reset password-control history-record [ user-name name | super [ level level ] ] |
當密碼曆史記錄功能未啟動時,reset password-control history-record命令同樣可以清除全部或者某個用戶的密碼曆史記錄。
· 全局密碼管理策略:用戶2次登錄失敗後就永久禁止登錄;密碼老化時間為30天;允許用戶進行密碼更新的最小時間間隔為36小時;密碼過期後60天內允許登錄5次;用戶帳號的閑置時間為30天;不允許密碼中包含用戶名或者顛倒用戶名;不允許密碼中包含連續三個或以上字符。
· super密碼管理策略:密碼元素的最少組合類型為3種,至少要包含每種元素的個數為5個。
· 本地Telnet用戶test的密碼管理策略:最小密碼長度為12個字符,密碼元素的最少組合類型為2種,至少要包含每種元素的個數為5個,密碼老化時間為20天。
# 使能全局密碼管理功能。
[AC] password-control enable
# 配置用戶2次登錄失敗後就永久禁止該用戶登錄。
[AC] password-control login-attempt 2 exceed lock
# 配置全局的密碼老化時間為30天。
[AC] password-control aging 30
# 配置密碼更新的最小時間間隔為36小時。
[AC] password-control password update interval 36
# 配置用戶密碼過期後的60天內允許登錄5次。
[AC] password-control expired-user-login delay 60 times 5
# 配置用戶帳號的閑置時間為30天。
[AC] password-control login idle-time 30
# 使能在配置的密碼中檢查包含用戶名或者顛倒的用戶名的功能。
[AC] password-control complexity user-name check
# 使能在配置的密碼中檢查包含連續三個或以上相同字符的功能。
[AC] password-control complexity same-character check
# 配置super密碼元素的最少組合類型為3種,至少要包含每種元素的個數為5個。
[AC] password-control super composition type-number 3 type-length 5
# 配置super密碼。
[AC] super password level 3 simple 12345ABGFTweuix
# 添加本地用戶test。
# 配置本地用戶的服務類型為Telnet。
[AC-luser-test] service-type telnet
# 配置本地用戶的最小密碼長度為12個字符。
[AC-luser-test] password-control length 12
# 配置本地用戶的密碼元素的最少組合類型為2種,至少要包含每種元素的個數為5個。
[AC-luser-test] password-control composition type-number 2 type-length 5
# 配置本地用戶的密碼老化時間為20天。
[AC-luser-test] password-control aging 20
# 以交互式方式配置本地用戶密碼。
Password:***********
Confirm :***********
Updating user(s) information, please wait........
[AC-luser-test] quit
# 可通過如下命令查看全局密碼管理的配置信息。
Global password control configurations:
Password control: Enabled
Password aging: Enabled (30 days)
Password length: Enabled (10 characters)
Password composition: Enabled (1 types, 1 characters per type)
Password history: Enabled (max history record:4)
Early notice on password expiration: 7 days
User authentication timeout: 60 seconds
Maximum failed login attempts: 2 times
Login attempt-failed action: Lock
Minimum password update time: 36 hours
User account idle-time: 30 days
Login with aged password: 5 times in 60 day(s)
Password complexity: Enabled (username checking)
Enabled (repeated characters checking)
# 可通過如下命令查看super密碼管理的配置信息。
<AC> display password-control super
Super password control configurations:
Password aging: Enabled (30 days)
Password length: Enabled (10 characters)
Password composition: Enabled (3 types, 5 characters per type)
# 可通過如下命令查看到本地用戶密碼管理的配置信息。
<AC> display local-user user-name test
The contents of local user test:
State: Active
ServiceType: telnet
Access-limit: Disable Current AccessNum: 0
User-group: system
Bind attributes:
Authorization attributes:
Password aging: Enabled (20 days)
Password length: Enabled (12 characters)
Password composition: Enabled (2 types, 5 characters per type)
Total 1 local user(s) matched.
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
