- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-Password Control命令
本章節下載: 05-Password Control命令 (185.18 KB)
目 錄
1.1.1 display password-control
1.1.2 display password-control blacklist
1.1.3 password-control { aging | composition | history | length } enable
1.1.5 password-control alert-before-expire
1.1.6 password-control complexity
1.1.7 password-control composition
1.1.9 password-control expired-user-login
1.1.10 password-control history
1.1.11 password-control length
1.1.12 password-control login idle-time
1.1.13 password-control login-attempt
1.1.14 password-control super aging
1.1.15 password-control super composition
1.1.16 password-control super length
1.1.17 password-control update-interval
1.1.18 reset password-control blacklist
1.1.19 reset password-control history-record
設備運行於FIPS模式時,本特性的相關配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
display password-control命令用來顯示密碼管理的配置信息。
【命令】
display password-control [ super ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
super:顯示super密碼管理的配置信息。如果不指定該參數,將顯示全局密碼管理的配置信息。
【舉例】
# 顯示全局密碼管理的配置信息。
<Sysname> display password-control
Global password control configurations:
Password control: Disabled
Password aging: Enabled (90 days)
Password length: Enabled (10 characters)
Password composition: Enabled (1 types, 1 characters per type)
Password history: Enabled (max history records:4)
Early notice on password expiration: 7 days
Maximum login attempts: 3
Action for exceeding login attempts: Lock user for 1 minutes
Minimum interval between two updates: 24 hours
User account idle time: 90 days
Logins with aged password: 3 times in 30 days
Password complexity: Disabled (username checking)
Disabled (repeated characters checking)
# 顯示super密碼管理的配置信息。
<Sysname> display password-control super
Super password control configurations:
Password aging: Enabled (90 days)
Password length: Enabled (10 characters)
Password composition: Enabled (1 types, 1 characters per type)
表1-1 display password-control命令顯示信息描述表
|
字段 |
描述 |
|
Global password control configurations |
全局密碼管理配置 |
|
Super password control configurations |
Super密碼管理配置 |
|
Password control |
全局密碼管理功能的開啟狀態 |
|
Password aging |
密碼老化功能的開啟狀態(密碼的老化時間) |
|
Password length |
密碼最小長度功能的開啟狀態(密碼的最小長度) |
|
Password composition |
密碼組合策略的開啟狀態(密碼元素的組合類型、至少要包含每種元素的個數) |
|
Password history |
密碼曆史記錄功能的開啟狀態(密碼曆史記錄的最大條數) |
|
Early notice on password expiration |
密碼過期前的提醒時間 |
|
Maximum login attempts |
用戶最大登錄嚐試次數 |
|
Action for exceeding login attempts |
登錄嚐試次數達到設定次數後的用戶帳戶鎖定方式 |
|
Minimum interval between two updates |
密碼更新的最小時間間隔 |
|
User account idle time |
用戶帳號閑置時間 |
|
Login with aged password |
密碼過期後允許用戶登錄的次數和時間 |
|
Password complexity |
密碼複雜度檢查功能的開啟狀態(檢查是否包含用戶名或者顛倒的用戶名;檢查是否包含三個或以上相同字符) |
display password-control blacklist命令用來顯示用戶認證失敗後,被加入密碼管理黑名單中的用戶信息。
【命令】
display password-control blacklist [ user-name name | ip ipv4-address | ipv6 ipv6-address ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
user-name name:顯示密碼管理黑名單中指定用戶名的用戶信息。其中,name表示本地用戶名,為1~55個字符的字符串,區分大小寫。
ip ipv4-address:顯示密碼管理黑名單中指定IPv4地址的用戶信息。
ipv6 ipv6-address:顯示密碼管理黑名單中指定IPv6地址的用戶信息。
【使用指導】
如果不指定任何參數,則顯示密碼管理黑名單中的所有用戶信息。
FTP用戶和通過VTY方式訪問設備的用戶在認證失敗後,會被加入密碼管理的黑名單,可通過本命令查看;通過Console口連接到設備的用戶,由於係統無法獲得其IP地址,且通過這種方式訪問設備的用戶已經具備了一定的權限和安全性,所以認證失敗後不會被加入密碼管理的黑名單。
【舉例】
# 顯示用戶認證失敗後,被加入密碼管理黑名單中的用戶信息。
<Sysname> display password-control blacklist
Username: test
IP: 192.168.44.1 Login failures: 1 Lock flag: unlock
表1-2 display password-control blacklist命令顯示信息描述表
|
字段 |
描述 |
|
Username |
用戶名 |
|
IP |
用戶的IP地址 |
|
Login failures |
用戶登錄失敗的次數 |
|
Lock flag |
該用戶是否被鎖定 · unlock:表示未鎖定,允許用戶再次嚐試登錄 · lock:表示鎖定,暫時或永久禁止用戶嚐試登錄(具體由password-control login-attempt命令的配置情況決定) |
|
Blacklist items matched |
匹配的黑名單表項數目 |
password-control { aging | composition | history | length } enable命令用來使能指定的密碼管理功能。
undo password-control { aging | composition | history | length } enable命令用來關閉指定的密碼管理功能。
【命令】
password-control { aging | composition | history | length } enable
undo password-control { aging | composition | history | length } enable
【缺省情況】
各密碼管理功能均處於使能狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
aging:使能密碼老化管理功能。
composition:使能密碼的組合檢測管理功能。
history:使能密碼曆史記錄管理功能。
length:使能密碼最小長度管理功能。
【使用指導】
要使指定的密碼管理功能生效,首先必須保證全局密碼管理功能處於使能狀態,其次要保證對應的密碼管理功能處於使能狀態。例如,若全局密碼管理功能或密碼最小長度管理功能處於未使能狀態,則password-control length命令配置的具體長度限製就不會生效。
密碼曆史記錄管理功能關閉後,係統將不再記錄曆史密碼,但之前已經存在的密碼曆史記錄依然保存。
需要注意的是,使能了全局密碼管理功能,未使能密碼最小長度管理功能時,密碼的最小長度為4個字符,且至少要有四個字符不同。
【舉例】
# 使能全局密碼管理功能。
<Sysname> system-view
[Sysname] password-control enable
# 使能密碼組合檢測管理功能。
[Sysname] password-control composition enable
# 使能密碼老化功能。
[Sysname] password-control aging enable
# 使能密碼最小長度功能。
[Sysname] password-control length enable
# 使能密碼曆史記錄功能。
[Sysname] password-control history enable
【相關命令】
· display password-control
· password-control enable
password-control aging命令用來配置密碼的老化時間。
undo password-control aging命令用來恢複缺省情況。
【命令】
password-control aging aging-time
undo password-control aging
【缺省情況】
全局的密碼老化時間為90天;用戶組的密碼老化時間為全局配置的密碼老化時間;本地用戶的密碼老化時間為所屬用戶組的密碼老化時間。
【視圖】
係統視圖/用戶組視圖/本地用戶視圖
【缺省用戶角色】
network-admin
【參數】
aging-time:密碼的老化時間,取值範圍為1~365,單位為天。
【使用指導】
· 係統視圖下配置具有全局性,對所有用戶組有效,用戶組視圖下的配置對用戶組內所有本地用戶有效,本地用戶視圖下的配置隻對當前本地用戶有效。
· 該配置的生效優先級順序由高到低依次為本地用戶視圖、用戶組視圖、全局視圖。即,係統優先采用本地用戶視圖下的配置,若本地用戶視圖下未配置,則采用用戶組視圖下的配置,若用戶組視圖下也未配置,則采用全局視圖下的配置。
【舉例】
# 配置全局的密碼老化時間為80天。
<Sysname> system-view
[Sysname] password-control aging 80
# 配置用戶組test的密碼老化時間為90天。
[Sysname] user-group test
[Sysname-ugroup-test] password-control aging 90
[Sysname-ugroup-test] quit
# 配置設備管理類本地用戶abc的密碼老化時間為100天。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] password-control aging 100
【相關命令】
· display password-control
· password-control aging enable
password-control alert-before-expire命令用來配置密碼過期前的提醒時間。
undo password-control alert-before-expire命令用來恢複缺省情況。
【命令】
password-control alert-before-expire alert-time
undo password-control alert-before-expire
【缺省情況】
密碼過期前的提醒時間為7天,表示在密碼過期之前7天內,係統會在用戶登錄時提醒其密碼即將過期。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
alert-time:密碼過期前的提醒時間,取值範圍為1~30,單位為天。
【使用指導】
不允許FTP用戶更改密碼,隻能由管理員修改FTP用戶的密碼,因此本命令配置的過期提醒時間僅對非FTP類型的Login用戶有效。
【舉例】
# 設定密碼過期前的提醒時間為10天。
<Sysname> system-view
[Sysname] password-control alert-before-expire 10
【相關命令】
· display password-control
password-control complexity命令用來配置用戶密碼的複雜度檢查策略。
undo password-control complexity命令用來取消指定的密碼複雜度檢查策略。
【命令】
password-control complexity { same-character | user-name } check
undo password-control complexity { same-character | user-name } check
【缺省情況】
不對用戶密碼進行複雜度檢查,允許密碼中包含用戶名或者字符順序顛倒的用戶名,也允許包含連續三個或以上的相同字符。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
same-character:指定檢查密碼中是否包含連續三個或以上相同的字符。例如,密碼aaabc就不符合該項複雜度檢查。
user-name:指定檢查密碼中是否包含用戶名或者字符順序顛倒的用戶名。例如,用戶名為123,則密碼abc123、321df就不符合該項複雜度檢查。
【使用指導】
可以通過多次執行本命令同時打開用戶名檢查以及連續字符檢查功能。
【舉例】
# 配置密碼複雜度檢測策略為,檢查配置的密碼中是否包含用戶名或者字符順序顛倒的用戶名。
<Sysname> system-view
[Sysname] password-control complexity user-name check
【相關命令】
· display password-control
password-control composition命令用來配置用戶密碼的組合策略。
undo password-control composition命令用來恢複缺省情況。
【命令】
password-control composition type-number type-number [ type-length type-length ]
undo password-control composition
【缺省情況】
非FIPS模式下:
全局的密碼元素的最少組合類型為1種,至少要包含每種元素的個數為1個;用戶組的密碼組合策略為全局配置的密碼組合策略;本地用戶的密碼組合策略為所屬用戶組的密碼組合策略。
FIPS模式下:
全局的密碼元素的最少組合類型為4種,至少要包含每種元素的個數為1個;用戶組的密碼組合策略為全局配置的密碼組合策略;本地用戶的密碼組合策略為所屬用戶組的密碼組合策略。
【視圖】
係統視圖/用戶組視圖/本地用戶視圖
【缺省用戶角色】
network-admin
【參數】
type-number type-number:密碼元素的最少組合類型。其中,type-number表示組合類型的個數,非FIPS模式下,取值範圍為1~4;FIPS模式下,取值為4。
type-length type-length:密碼中至少要包含每種元素的個數。其中,type-length表示元素個數,非FIPS模式下,取值範圍為1~63;FIPS模式下,取值範圍為1~15。
【使用指導】
係統視圖下配置具有全局性,對所有用戶組有效,用戶組視圖下的配置對用戶組內所有本地用戶有效,本地用戶視圖下的配置隻對當前本地用戶有效。
該配置的生效優先級順序由高到低依次為本地用戶視圖、用戶組視圖、全局視圖。即,係統優先采用本地用戶視圖下的配置,若本地用戶視圖下未配置,則采用用戶組視圖下的配置,若用戶組視圖下也未配置,則采用全局視圖下的配置。
密碼元素的最少組合類型數以及每種元素的最小個數的乘積應該小於允許的最大密碼長度。
【舉例】
# 配置全局的密碼元素的最少組合類型為3種,至少要包含每種元素的個數為5個。
<Sysname> system-view
[Sysname] password-control composition type-number 3 type-length 5
# 配置用戶組test的密碼元素的最少組合類型為3種,至少要包含每種元素的個數為5個。
[Sysname] user-group test
[Sysname-ugroup-test] password-control composition type-number 3 type-length 5
[Sysname-ugroup-test] quit
# 配置設備管理類本地用戶abc的密碼元素的最少組合類型為3種,至少要包含每種元素的個數為5個。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] password-control composition type-number 3 type-length 5
【相關命令】
· display password-control
· password-control composition enable
password-control enable命令用來使能全局密碼管理功能。
undo password-control enable命令用來關閉全局密碼管理功能。
【命令】
password-control enable
undo password-control enable
【缺省情況】
非FIPS模式下:
全局密碼管理功能處於關閉狀態。
FIPS模式下:
全局密碼管理功能處於開啟狀態,且不能關閉。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
隻有在使能了全局密碼管理功能的情況下,其它指定的密碼管理功能才能生效。
【舉例】
# 使能全局密碼管理功能。
<Sysname> system-view
[Sysname] password-control enable
【相關命令】
· display password-control
· password-control { aging | composition | history | length } enable
password-control expired-user-login命令用來配置密碼過期後允許用戶登錄的時間和次數。
undo password-control expired-user-login命令用來恢複缺省情況。
【命令】
password-control expired-user-login delay delay times times
undo password-control expired-user-login
【缺省情況】
密碼過期後允許登錄的時間為30天,允許登錄的次數為3次,即密碼過期後係統還允許用戶在30天內登錄3次。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
delay delay:密碼過期後允許用戶登錄的時長,取值範圍為1~90,單位為天。
times times:密碼過期後允許用戶登錄的最大次數,取值範圍為0~10。0表示密碼過期後不允許用戶登錄。
【使用指導】
該配置僅對非FTP類型的Login用戶生效。對於FTP用戶,密碼過期後,係統不允許其繼續登錄。
【舉例】
# 設定允許用戶在密碼過期之後的60天內登錄5次。
<Sysname> system-view
[Sysname] password-control expired-user-login delay 60 times 5
【相關命令】
· display password-control
password-control history命令用來配置每個用戶密碼曆史記錄的最大條數。
undo password-control history命令用來恢複缺省情況。
【命令】
password-control history max-record-num
undo password-control history
【缺省情況】
每個用戶密碼曆史記錄的最大條數為4條。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
max-record-num:每個用戶密碼曆史記錄的最大條數,取值範圍為2~15。
【使用指導】
當記錄的某用戶的曆史密碼條數達到最大值後,該用戶的後續新密碼曆史記錄將覆蓋最老的一條密碼曆史記錄。
密碼曆史記錄管理功能關閉後,係統將不再記錄曆史密碼,但之前已經存在的密碼曆史記錄依然保存。隻有當關閉全局密碼管理功能(undo password-control enable)或手動清除曆史密碼記錄時(reset password-control history-record),曆史密碼記錄才會被清除掉。
· 未使能全局密碼管理功能時:沒有用戶密碼曆史記錄,用戶新配置的密碼可以和當前密碼相同。
· 使能了全局密碼管理功能,但密碼曆史記錄功能未使能時:沒有用戶密碼曆史記錄,用戶新配置的密碼可以和當前密碼相同。
· 使能了全局密碼管理功能,並使能了密碼曆史記錄管理功能時:用戶更改密碼時,係統會將新設置的密碼與密碼曆史記錄以及當前密碼相比較,要求新密碼至少要與舊密碼有4字符不同,且這4個字符必須互不相同,否則密碼更改失敗。
【舉例】
# 配置每個用戶密碼曆史記錄的最大條數為10條。
<Sysname> system-view
[Sysname] password-control history 10
【相關命令】
· display password-control
· password-control history enable
· reset password-control blacklist
password-control length命令用來配置密碼的最小長度。
undo password-control length命令用來恢複缺省情況。
【命令】
password-control length length
undo password-control length
【缺省情況】
非FIPS模式下:
全局的密碼最小長度為10個字符;用戶組的密碼最小長度為全局配置的密碼最小長度;本地用戶的密碼最小長度為所屬用戶組的密碼最小長度。
FIPS模式下:
全局的密碼最小長度為15個字符;用戶組的密碼最小長度為全局配置的密碼最小長度;本地用戶的密碼最小長度為所屬用戶組的密碼最小長度。
【視圖】
係統視圖/用戶組視圖/本地用戶視圖
【缺省用戶角色】
network-admin
【參數】
length:密碼的最小長度,非FIPS模式下,取值範圍為4~32;FIPS模式下,取值範圍為15~32。
【使用指導】
係統視圖下配置具有全局性,對所有用戶組有效,用戶組視圖下的配置對用戶組內所有本地用戶有效,本地用戶視圖下的配置隻對當前本地用戶有效。
該配置的生效優先級順序由高到低依次為本地用戶視圖、用戶組視圖、全局視圖。即,係統優先采用本地用戶視圖下的配置,若本地用戶視圖下未配置,則采用用戶組視圖下的配置,若用戶組視圖下也未配置,則采用全局視圖下的配置。
【舉例】
# 配置全局的密碼最小長度為9個字符。
<Sysname> system-view
[Sysname] password-control length 9
# 配置用戶組test的密碼最小長度為9個字符。
[Sysname] user-group test
[Sysname-ugroup-test] password-control length 9
[Sysname-ugroup-test] quit
# 配置設備管理類本地用戶abc的密碼最小長度為9個字符。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] password-control length 9
【相關命令】
· display password-control
· password-control length enable
password-control login idle-time命令用來配置用戶帳號的閑置時間。
undo password-control login idle-time命令用來恢複缺省情況。
【命令】
password-control login idle-time idle-time
undo password-control login idle-time
【缺省情況】
用戶帳號的閑置時間為90天。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
idle-time:用戶帳號的閑置時間,取值範圍為0~365,單位為天。0表示對用戶帳號閑置時間無限製。
【使用指導】
如果用戶自最後一次成功登錄後,在指定的閑置時間內再未成功登錄過設備,那麼該用戶帳號將會失效。
【舉例】
# 設定用戶帳號的閑置時間為30天,表示自最後一次成功登錄後,若用戶在30天內再未成功登錄過設備,那麼該用戶帳號將會失效。
<Sysname> system-view
[Sysname] password-control login idle-time 30
【相關命令】
· display password-control
password-control login-attempt命令用來配置允許用戶登錄的最大嚐試次數以及登錄嚐試失敗後的處理措施。
undo password-control login-attempt命令用來恢複缺省情況
【命令】
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
undo password-control login-attempt
【缺省情況】
用戶登錄嚐試的最大次數為3次。如果某用戶登錄嚐試失敗,則1分鍾後再允許該用戶重新登錄。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
login-times:用戶登錄嚐試的最大次數,取值範圍為2~10。
exceed:對登錄嚐試失敗次數超過最大值的用戶所采取的處理措施。
lock:表示永久禁止該用戶登錄。
lock-time time:表示禁止該用戶一段時間後,再允許該用戶重新登錄。其中,time為禁止該用戶的時間,取值範圍為1~360,單位為分鍾。
unlock:表示不禁止該用戶,允許其繼續登錄。
【使用指導】
用戶登錄認證失敗後,係統會將其加入密碼管理的黑名單,當登錄失敗次數超過指定值後,係統將會根據此處配置的處理措施對其之後的登錄行為進行相應的限製,並且該用戶隻能在滿足相應的條件後才可重新登錄:
· 對於被永久禁止登錄的用戶,隻有管理員使用reset password-control blacklist命令把該用戶從密碼管理的黑名單中刪除後,該用戶才能重新登錄。
· 對於被禁止一段時間內登錄的用戶,當配置的禁止時間超時或者管理員使用reset password-control blacklist命令將其從密碼管理的黑名單中刪除,該用戶才可以重新登錄。
· 對於不禁止登錄的用戶,隻要用戶登錄成功後,該用戶就會從該黑名單中刪除。
本命令生效後,會立即影響密碼管理黑名單中當前用戶的鎖定狀態以及這些用戶後續的登錄。
【舉例】
# 管理員設定用戶登錄嚐試次數為4次,並且永久禁止該用戶登錄。
<Sysname> system-view
[Sysname] password-control login-attempt 4 exceed lock
之後,若有用戶連續嚐試認證的失敗累加次數達到4次,管理員可通過命令查看到被加入密碼管理黑名單中的用戶鎖定狀態由之前的unlock切換為lock,且該用戶無法再次成功登錄。
[Sysname] display password-control blacklist
Username: test
IP: 192.168.44.1 Login failures: 4 Lock flag: lock
Blacklist items matched: 1.
# 管理員設定用戶登錄嚐試次數為2次,並且限製該用戶在3分鍾後才能重新登錄。
<Sysname> system-view
[Sysname] password-control login-attempt 2 exceed lock-time 3
之後,若有用戶連續嚐試認證的失敗累加次數達到2次,管理員可通過命令查看到被加入密碼管理黑名單中的用戶鎖定狀態由之前的unlock切換為lock。
[Sysname] display password-control blacklist
Username: test
IP: 192.168.44.1 Login failures: 2 Lock flag: lock
Blacklist items matched: 1.
用戶被禁止登錄3分鍾後,將被從密碼管理黑名單中刪除,且可以重新登錄。
【相關命令】
· display password-control
· display password-control blacklist
· reset password-control blacklist
password-control super aging命令用來配置super密碼的老化時間。
undo password-control super aging命令用來恢複缺省情況。
【命令】
password-control super aging aging-time
undo password-control super aging
【缺省情況】
密碼的老化時間為90天。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
aging-time:super密碼的老化時間,取值範圍為1~365,單位為天。
【舉例】
# 設定super密碼的老化時間為10天。
<Sysname> system-view
[Sysname] password-control super aging 10
【相關命令】
· display password-control
· password-control aging
password-control super composition命令用來配置super密碼的組合策略。
undo password-control super composition命令用來恢複缺省情況。
【命令】
password-control super composition type-number type-number [ type-length type-length ]
undo password-control super composition
【缺省情況】
非FIPS模式下:
super密碼的最少組合類型為1種,每種類型至少包含1個字符。
FIPS模式下:
super密碼的最少組合類型為4種,每種類型至少包含1個字符。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
type-number type-number:super密碼的最少組合類型。其中,type-number表示組合類型,非FIPS模式下,取值範圍為1~4;FIPS模式下,取值為4。
type-length type-length:super密碼中每種類型的最少字符個數。其中,type-length表示字符個數,非FIPS模式下,取值範圍為1~63;FIPS模式下,取值範圍為1~15。
【使用指導】
密碼元素的最少組合類型數以及每種元素的最小個數的乘積應該小於密碼允許的最大長度。
【舉例】
# 配置super密碼的最少組合類型為3種,每種類型的最少字符個數為5個。
<Sysname> system-view
[Sysname] password-control super composition type-number 3 type-length 5
【相關命令】
· display password-control
· password-control composition
password-control super length命令用來配置super密碼的最小長度。
undo password-control super length命令用來恢複缺省情況。
【命令】
password-control super length length
undo password-control super length
【缺省情況】
非FIPS模式下:
super密碼的最小長度為10個字符。
FIPS模式下:
super密碼的最小長度為15個字符。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
length:super密碼的最小字符長度,非FIPS模式下,取值範圍為4~63;FIPS模式下,取值範圍為15~63。
【舉例】
# 設定super密碼的最小長度為10個字符。
<Sysname> system-view
[Sysname] password-control super length 10
【相關命令】
· display password-control
· password-control length
password-control update-interval命令用來配置密碼更新的最小時間間隔。
undo password-control update-interval命令用來恢複缺省情況。
【命令】
password-control update-interval interval
undo password-control update-interval
【缺省情況】
密碼更新的最小時間間隔為24小時。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interval:密碼更新的最小時間間隔,取值範圍為0~168,單位為小時。0表示對密碼更新的時間間隔無限製。
【使用指導】
有兩種情況下的密碼更新並不受該功能的約束:用戶首次登錄設備時係統要求用戶修改密碼;密碼老化後係統要求用戶修改密碼。
【舉例】
# 設定密碼更新的最小時間間隔為36小時。
<Sysname> system-view
[Sysname] password-control update-interval 36
【相關命令】
· display password-control
reset password-control blacklist命令用來清除密碼管理黑名單中的用戶。
【命令】
reset password-control blacklist [ user-name name ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
user-name name:清除密碼管理黑名單中指定的用戶。其中,name表示用戶名,為1~55個字符的字符串,區分大小寫。
【使用指導】
對於因為登錄認證時密碼嚐試的失敗次數超過最大值而被禁止登錄的用戶,管理員可以使用本命令將其從黑名單中刪除,使其可以重新登錄。
【舉例】
# 清除密碼管理黑名單中的用戶test。
<Sysname> reset password-control blacklist user-name test
Are you sure to delete the specified user in blacklist? [Y/N]:
【相關命令】
· display password-control blacklist
reset password-control history-record命令用來清除用戶的密碼曆史記錄。
【命令】
reset password-control history-record [ super [ role role-name ] | user-name name ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
super:刪除super密碼的曆史記錄。
role role-name:刪除指定用戶角色的用戶密碼曆史記錄。其中,role-name表示用戶角色,為1~63個字符的字符串,區分大小寫。
user-name name:刪除指定用戶名的密碼曆史記錄。其中,name表示用戶名,為1~55個字符的字符串,區分大小寫。
【使用指導】
· 如果不指定任何參數,將刪除所有本地用戶的密碼曆史記錄。
· 如果不指定參數role-name,將刪除所有super密碼的曆史記錄。
【舉例】
# 清除所有本地用戶的密碼曆史記錄。當用戶輸入Y,係統將刪除所有本地用戶的密碼曆史記錄。
<Sysname> reset password-control history-record
Are you sure to delete all local user’s history records? [Y/N]:y
【相關命令】
· password-control history
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
