- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
31-管理員和角色
本章節下載: 31-管理員和角色 (393.67 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ 賬戶管理
¡ 角色管理
¡ 密碼管理
¡ 弱密碼管理
管理員通過SSH、Telnet、FTP、HTTP、HTTPS、終端接入(即從Console口接入)方式登錄到設備上之後,可以對設備進行配置和管理。對登錄用戶的管理和維護主要涉及以下幾個部分:
· 賬戶管理:對用戶的基本信息(用戶名、密碼)以及相關屬性的管理。
· 角色管理:對用戶可執行的係統功能的管理。
· 密碼管理:對用戶密碼設置控製、密碼更新與老化以及用戶登錄控製等方麵進行管理。
為使請求某種服務的用戶可以成功登錄設備,需要在設備上添加相應的賬戶。所謂用戶,是指在設備上設置的一組用戶屬性的集合,該集合以用戶名唯一標識。一個有效的用戶條目中可包括用戶名、密碼、角色、可用服務、密碼管理等屬性。
對登錄用戶權限的控製,是通過為用戶賦予一定的角色來實現。一個角色中定義了允許用戶執行的係統功能,例如,定義用戶角色規則允許用戶配置A功能,或禁止用戶配置B功能。
一個角色規則中定義了允許/禁止用戶操作某類實體的權限。
Web界麵支持的實體類型為Web菜單,即通過Web對設備進行配置時,各配置頁麵以Web菜單的形式組織,按照層次關係,形成多級菜單的樹形結構。
對實體的操作權限包括:
· 讀權限:可查看指定實體的配置信息和維護信息。
· 寫權限:可配置指定實體的相關功能和參數。
· 執行權限:可執行特定的功能,如與FTP服務器建立連接。
定義一個規則,就等於約定允許或禁止用戶針對某類實體具有哪些操作權限。對於Web菜單實體,控製Web菜單的規則就是用來控製指定的Web菜單選項是否允許被操作。因為每個菜單項中的操作控件具有相應的讀,寫或執行屬性,所以定義基於Web菜單的規則時,可以精細地控製菜單項中讀、寫或執行控件的操作。
係統預定義了多種角色,角色名和對應的權限如表-1所示。這些缺省角色均具有不同的係統功能操作權限。如果係統預定義的用戶角色無法滿足權限管理需求,管理員還可以自定義用戶角色來對用戶權限做進一步控製。
|
角色名 |
權限 |
|
超級管理員 |
超級管理員擁有操作設備所有功能的權限 |
|
安全管理員 |
安全管理員擁有配置安全業務功能和監控安全業務處理狀態的權限 |
|
審計管理員 |
審計管理員僅擁有審計設備操作的權限 |
|
係統管理員 |
係統管理員擁有配置設備係統功能和監控設備運行狀態的權限 |
|
虛擬設備超級管理員 |
虛擬設備超級管理員擁有操作虛擬設備所有功能的權限 |
根據用戶認證登錄方式的不同,為用戶授權角色分為以下幾類:
· 對於通過本地AAA認證登錄設備的用戶,由本地用戶配置決定為其授權的用戶角色。
· 對於通過AAA遠程認證登錄設備的用戶,由AAA服務器的配置決定為其授權的用戶角色。
將有效的角色成功授權給用戶後,登錄設備的用戶才能以各角色所具有的權限來配置、管理或者監控設備。如果用戶沒有被授權任何角色,將無法成功登錄設備。
一個用戶同時隻能擁有一個角色。
為了提高用戶登錄密碼的安全性,可通過定義密碼管理策略對用戶的登錄密碼進行管理,並對用戶的登錄狀態進行控製。管理員密碼管理界麵下的配置為全局配置,對所有用戶生效。新建或修改指定管理員界麵下的配置本文稱之為本地用戶密碼管理配置,隻對當前用戶生效。本地用戶密碼管理中的配置優先級高於全局配置。
管理員可以限製用戶密碼的最小長度。當設置用戶密碼時,如果輸入的密碼長度小於設置的密碼最小長度,係統將不允許設置該密碼。
為確保用戶的登錄密碼具有較高的複雜度,要求管理員為其設置的密碼必須符合一定的複雜度要求,隻有符合要求的密碼才能設置成功。目前,可配置的複雜度要求包括:
· 不允許密碼中包含用戶名或顛倒的用戶名。例如,用戶名為“abc”,那麼“abc982”或者“2cba”之類的密碼就不符合複雜度要求。本功能在本地用戶密碼管理界麵和全局密碼管理界麵均開啟才生效。
· 不允許密碼中包含連續三個或以上的相同字符。例如,密碼“a111”就不符合複雜度要求。本功能在本地用戶密碼管理或全局密碼管理界麵任一位置開啟都生效。
本功能需在全局密碼管理對應功能開啟的情況下,本地用戶密碼管理下的配置才生效。管理員可以設置用戶密碼的組成元素的組合類型,以及至少要包含每種元素的個數。密碼的組成元素包括以下4種類型:
· [A~Z]
· [a~z]
· [0~9]
· 32個特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密碼元素的組合類型有4種,具體涵義如下:
· 組合類型為1表示密碼中至少包含1種元素;
· 組合類型為2表示密碼中至少包含2種元素;
· 組合類型為3表示密碼中至少包含3種元素;
· 組合類型為4表示密碼中包含4種元素。
當用戶設置密碼時,係統會檢查設定的密碼是否符合配置要求,隻有符合要求的密碼才能設置成功。
管理員可以設置用戶登錄設備後修改自身密碼的最小間隔時間。有兩種情況下的密碼更新並不受該功能的約束:開啟密碼管理後,用戶首次登錄設備時係統要求用戶修改密碼和密碼老化後係統要求用戶修改密碼。
本功能需在全局密碼管理對應功能開啟的情況下,本地用戶密碼管理下的配置才生效。當用戶登錄密碼的使用時間超過密碼老化時間後,需要用戶更換密碼。如果用戶輸入的新密碼不符合要求,或連續兩次輸入的新密碼不一致,係統將要求用戶重新輸入。對於FTP用戶,密碼老化後,隻能由管理員修改FTP用戶的密碼;對於Telnet、SSH、Terminal(通過Console口登錄設備)用戶可自行修改密碼。
在用戶登錄時,係統會判斷其密碼距離過期的時間是否在設置的提醒時間範圍內。如果在提醒時間範圍內,係統會提示該密碼還有多久過期,並詢問用戶是否修改密碼。如果用戶選擇修改,則記錄新的密碼及其設定時間。如果用戶選擇不修改或者修改失敗,則在密碼未過期的情況下仍可以正常登錄。對於FTP用戶,隻能由管理員修改FTP用戶的密碼;對於Telnet、SSH、Terminal(通過Console口登錄設備)用戶可自行修改密碼。
管理員可以設置用戶密碼過期後在指定的時間內還能登錄設備的次數。這樣,密碼老化的用戶不需要立即更新密碼,依然可以登錄設備。例如,管理員設置密碼老化後允許用戶登錄的時間為15天、次數為3次,那麼用戶在密碼老化後的15天內,還能繼續成功登錄3次。
管理員可以設置係統保存用戶密碼曆史記錄。當用戶修改密碼時,係統會要求用戶設置新的密碼,如果新設置的密碼以前使用過,且在當前用戶密碼曆史記錄中,係統將提示用戶密碼更改失敗。另外,用戶更改密碼時,係統會將新設置的密碼與所有曆史記錄密碼以及當前密碼逐一比較,要求新密碼至少與舊密碼有4字符不同。並且,這4個字符必須互不相同,否則密碼更改失敗。
可以配置每個用戶密碼曆史記錄的最大條數,當密碼曆史記錄的條數超過配置的最大曆史記錄條數時,新的密碼曆史記錄將覆蓋該用戶最老的一條密碼曆史記錄。
由於設備管理類本地用戶配置的密碼在哈希運算後以密文的方式保存,配置一旦生效後就無法還原為明文密碼,因此,設備管理類本地用戶的當前登錄密碼不會被記錄到密碼曆史記錄中。
密碼嚐試次數限製可以用來防止惡意用戶通過不斷嚐試來破解密碼。本功能需在全局密碼管理對應功能開啟的情況下,本地用戶密碼管理下的配置才生效。
每次用戶認證失敗後,係統會將該用戶加入密碼管理的黑名單。可加入密碼管理功能黑名單的用戶包括:FTP用戶和通過VTY方式訪問設備的用戶。不會加入密碼管理功能黑名單的用戶包括:用戶名不存在的用戶、通過Console口連接到設備的用戶。
當用戶連續嚐試認證的失敗累加次數達到用戶登錄嚐試的最大次數時,係統對用戶的後續登錄行為有以下三種處理措施:
· 永久禁止登錄。隻有管理員把該用戶從密碼管理的黑名單中刪除後,該用戶才能重新登錄。
· 暫時禁止登錄。當配置的禁止時間超時或者管理員將其從密碼管理的黑名單中刪除,該用戶才可以重新登錄。
· 允許繼續登錄。在該用戶登錄成功後,該用戶會從密碼管理的黑名單中刪除。
管理員可以限製用戶帳號的閑置時間。在配置的閑置時間內,用戶從未成功登錄過,此用戶賬戶將失效,係統不再允許使用該帳號的用戶登錄。
若管理員設置的密碼為弱密碼,無論<密碼管理>功能是否開啟,設備都在用戶登錄時彈框提示,建議修改密碼。
弱密碼的判斷條件包括以下幾項,隻要其中一項不符合,係統就識別為弱密碼:
· 密碼長度檢查。有關此項詳細介紹,請參見上文中的“密碼長度檢查”。
· 密碼組合檢查。有關此項詳細介紹,請參見上文中的“密碼組合檢查”。
· 密碼中不能包括用戶名或者字符順序顛倒的用戶名。有關此項詳細介紹,請參見上文中的“密碼複雜度檢查”。
· 不允許密碼中包含連續三個或以上的相同字符。此項弱密碼判斷條件僅當密碼管理功能開啟後才生效。有關此項詳細介紹,請參見上文中的“密碼複雜度檢查”。
可以根據實際使用場景,開啟“弱密碼時強製修改密碼”功能。本功能僅對後續新登錄的用戶生效,不影響當前已登錄用戶。當用戶使用弱密碼登錄,若未開啟本功能,係統僅在登錄時彈框建議修改弱密碼,但不強製。用戶可以忽略提示,繼續登錄設備。若開啟了本功能,係統會強製要求修改為非弱密碼才允許登錄設備。管理員開啟“弱密碼時強製修改密碼”功能時,必須至少配置一項弱密碼判斷條件。
· 修改後的規則對於當前已經在線的用戶不生效,對於之後使用該角色登錄設備的用戶生效。
· 若要使得具體的密碼管理功能生效,需在管理員頁麵菜單欄的<密碼管理>中開啟密碼管理功能。
· 管理員頁麵和本地用戶頁麵中的密碼管理功能相互關聯,相同配置項的參數共用,一個頁麵中修改參數後,另一頁麵自動同步修改。
· 開啟密碼管理之後,首次設置的登錄用戶密碼必須至少由四個不同的字符組成。
· 對於FTP用戶,密碼過期後,係統不允許其繼續登錄,也不允許FTP用戶自行更改密碼,隻能由管理員修改FTP用戶的密碼。
· 由於FTP用戶不支持計費,因此FTP用戶不受同時在線最大用戶數限製。
· 在管理員頁麵菜單欄的<密碼管理>中配置的內容對所有設備管理類的本地用戶生效。對於密碼老化時間、密碼最小長度、密碼複雜度檢查、密碼組合檢查和密碼嚐試次數這幾種功能,可分別在<密碼管理>和新建管理員頁麵的高級設置中配置相關參數,其生效優先級從高到低依次為:新建管理員頁麵的配置->密碼管理中的配置。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
