功能简介
开启全局密码管理功能,是密码管理所有配置生效的前提。若要使得具体的密码管理功能(密码老化、密码最小长度、密码历史记录、密码组合检测)生效,还需开启指定的密码管理功能。
配置限制和指导
开启全局密码管理功能,有以下配置限制和指导:
· 设备管理类本地用户密码以及super密码的配置将不被显示,即无法通过相应的display命令查看到设备管理类本地用户密码以及super密码的配置。网络接入类本地用户密码不受密码管理功能控制,其配置显示也不受影响。
· 首次设置的设备管理类本地用户密码必须至少由四个不同的字符组成。
· FIPS模式下,全局密码管理功能处开启状态,且不能关闭。
· Password Control会记录用户配置密码时的UTC时间。如果因设备断电重启等原因,UTC时间与Password Control记录的UTC时间不一致,可能导致密码老化管理功能出错。因此,为保证密码老化管理功能的正常工作,建议设备通过NTP(Network Time Protocol,网络时间协议)协议获取UTC时间。关于NTP的详细介绍,请参见“网络管理和监控配置指导”中的“NTP”。
system-view
(2) 开启全局密码管理功能。
password-control enable
缺省情况下,全局密码管理功能处于关闭状态。
(3) (可选)开启指定的密码管理功能。
password-control { aging | composition | history | length } enable
缺省情况下,各密码管理功能均处于开启状态。
系统视图下的全局密码管理参数对所有设备管理类的本地用户生效。
对于密码老化时间、密码最小长度以及密码组合策略这三个功能,可分别在系统视图、用户组视图、本地用户视图下配置相关参数,其生效优先级从高到低依次为:本地用户视图->用户组视图->系统视图。
除用户登录尝试失败后的行为配置属于即时生效的配置,会在配置生效后立即影响密码管理黑名单中当前用户的锁定状态以及这些用户后续的登录之外,其它全局密码管理配置生效后仅对后续登录的用户以及后续设置的用户密码有效,不影响当前用户。
(1) 进入系统视图。
system-view
(2) 控制密码设置
¡ 配置用户密码的最小长度。
(非FIPS模式)
password-control length length
缺省情况下,用户密码的最小长度为10个字符。
(FIPS模式)
password-control length length
缺省情况下,用户密码的最小长度为15个字符。
¡ 配置用户密码的组合策略。
(非FIPS模式)
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,密码元素的组合类型至少为1种,至少要包含每种元素的个数为1个。
(FIPS模式)
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,密码元素的组合类型至少为4种,至少要包含每种元素的个数为1个。
¡ 配置用户密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
缺省情况下,不对用户密码进行复杂度检查。
¡ 配置每个用户密码历史记录的最大条数。
password-control history max-record-number
缺省情况下,每个用户密码历史记录的最大条数为4条。
(3) 管理密码更新与老化
¡ 配置用户密码更新的最小时间间隔。
password-control update-interval interval
缺省情况下,用户密码更新的最小时间间隔为24小时。
¡ 配置用户密码的老化时间。
password-control aging aging-time
缺省情况下,用户密码的老化时间为90天。
¡ 配置密码过期前的提醒时间。
password-control alert-before-expire alert-time
缺省情况下,密码过期前的提醒时间为7天。
¡ 配置密码过期后允许用户登录的时间和次数。
password-control expired-user-login delay delay times times
缺省情况下,密码过期后的30天内允许用户登录3次。
(4) 控制用户登录
¡ 配置用户登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,用户登录尝试次数为3次;如果用户登录失败,则1分钟后再允许该用户重新登录。
¡ 配置用户帐号的闲置时间。
password-control login idle-time idle-time
缺省情况下,用户帐号的闲置时间为90天。
用户账号闲置超时后,该账号将会失效,用户将无法正常登录设备。若不需要账号闲置时间检查功能,可将idle-time配置为0,表示Password Control功能对用户账号闲置时间无限制。
(1) 进入系统视图。
system-view
(2) 创建用户组,并进入用户组视图。
user-group group-name
缺省情况下,不存在任何用户组。
用户组的相关配置请参见“安全配置指导”中的“AAA”。
(3) 配置用户组的密码老化时间。
password-control aging aging-time
缺省情况下,采用全局密码老化时间。
(4) 配置用户组的密码最小长度。
password-control length length
缺省情况下,采用全局密码最小长度。
(5) 配置用户组密码的组合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,采用全局密码组合策略。
(6) 配置用户组密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
缺省情况下,采用全局密码复杂度检查策略。
(7) 配置用户组登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,采用全局的用户登录尝试限制策略。
(1) 进入系统视图。
system-view
(2) 创建设备管理类本地用户,并进入本地用户视图。
local-user user-name class manage
缺省情况下,不存在任何本地用户。
本地用户密码管理功能仅对设备管理类的本地用户生效,对于网络接入类本地用户不起作用。本地用户的相关配置请参见“安全配置指导”中的“AAA”。
(3) 配置本地用户的密码老化时间。
password-control aging aging-time
缺省情况下,采用本地用户所属用户组的密码老化时间。
(4) 配置本地用户的密码最小长度。
password-control length length
缺省情况下,采用本地用户所属用户组的密码最小长度。
(5) 配置本地用户的密码组合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,采用本地用户所属用户组的密码组合策略。
(6) 配置本地用户密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
缺省情况下,采用本地用户所属用户组的密码复杂度检查策略。
(7) 配置本地用户登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,采用本地用户所属用户组的用户登录尝试限制策略
(1) 进入系统视图。
system-view
(2) 配置super密码的老化时间。
password-control super aging aging-time
缺省情况下,密码的老化时间为90天。
(3) 配置super密码的最小长度。
(非FIPS模式)
password-control super length length
缺省情况下,密码的最小长度为10个字符。
(FIPS模式)
password-control super length length
缺省情况下,密码的最小长度为15个字符。
(4) 配置super密码的组合策略。
(非FIPS模式)
password-control super composition type-number type-number [ type-length type-length ]
缺省情况下,密码元素的组合类型至少为1种,至少要包含每种元素的个数为1个。
(FIPS模式)
password-control super composition type-number type-number [ type-length type-length ]
缺省情况下,密码元素的组合类型至少为4种,至少要包含每种元素的个数为1个
1. 组网需求
有以下密码管理需求:
· 全局密码管理策略:用户2次登录失败后就永久禁止登录;最小密码长度为16个字符,密码老化时间为30天;允许用户进行密码更新的最小时间间隔为36小时;密码过期后60天内允许登录5次;用户帐号的闲置时间为30天;不允许密码中包含用户名或者字符顺序颠倒的用户名;不允许密码中包含连续三个或以上相同字符;密码元素的最少组合类型为4种,至少要包含每种元素的个数为4个。
· 切换到用户角色network-operator时使用的super密码管理策略:最小密码长度为24个字符,密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
· 本地Telnet用户test的密码管理策略:最小密码长度为24个字符,密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个,密码老化时间为20天。
2. 配置步骤
# 开启全局密码管理功能。
<Sysname> system-view
[Sysname] password-control enable
# 配置用户2次登录失败后就永久禁止该用户登录。
[Sysname] password-control login-attempt 2 exceed lock
# 配置全局的密码老化时间为30天。
[Sysname] password-control aging 30
# 配置全局的密码的最小长度为16。
[Sysname] password-control length 16
# 配置密码更新的最小时间间隔为36小时。
[Sysname] password-control update-interval 36
# 配置用户密码过期后的60天内允许登录5次。
[Sysname] password-control expired-user-login delay 60 times 5
# 配置用户帐号的闲置时间为30天。
[Sysname] password-control login idle-time 30
# 开启在配置的密码中检查包含用户名或者字符顺序颠倒的用户名的功能。
[Sysname] password-control complexity user-name check
# 开启在配置的密码中检查包含连续三个或以上相同字符的功能。
[Sysname] password-control complexity same-character check
#配置全局的密码元素的最少组合类型为4种,至少要包含每种元素的个数为4个。
[Sysname] password-control composition type-number 4 type-length 4
# 配置super密码的最小长度为24。
[Sysname] password-control super length 24
# 配置super密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
[Sysname] password-control super composition type-number 4 type-length 5
# 配置切换到用户角色network-operator时使用的super密码为明文123456789ABGFTweuix@#$%!。
[Sysname] super password role network-operator simple 123456789ABGFTweuix@#$%!
# 添加设备管理类本地用户test。
[Sysname] local-user test class manage
# 配置本地用户的服务类型为Telnet。
[Sysname-luser-manage-test] service-type telnet
# 配置本地用户的最小密码长度为24个字符。
[Sysname-luser-manage-test] password-control length 24
# 配置本地用户的密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
[Sysname-luser-manage-test] password-control composition type-number 4 type-length 5
# 配置本地用户的密码老化时间为20天。
[Sysname-luser-manage-test] password-control aging 20
# 以交互式方式配置本地用户密码。
[Sysname-luser-manage-test] password
Password:
Confirm :
Updating user information. Please wait ... ...
[Sysname-luser-manage-test] quit
3. 验证配置
# 可通过如下命令查看全局密码管理的配置信息。
<Sysname> display password-control
Global password control configurations:
Password control: Enabled
Password aging: Enabled (30 days)
Password length: Enabled (16 characters)
Password composition: Enabled (4 types, 4 characters per type)
Password history: Enabled (max history record:4)
Early notice on password expiration: 7 days
Maximum login attempts: 2
Action for exceeding login attempts: Lock
Minimum interval between two updates: 36 hours
User account idle time: 30 days
Logins with aged password: 5 times in 60 days
Password complexity: Enabled (username checking)
Enabled (repeated characters checking)
# 可通过如下命令查看super密码管理的配置信息。
<Sysname> display password-control super
Super password control configurations:
Password aging: Enabled (90 days)
Password length: Enabled (24 characters)
Password composition: Enabled (4 types, 5 characters per type)
# 可通过如下命令查看到本地用户密码管理的配置信息。
<Sysname> display local-user user-name test class manage
Total 1 local users matched.
Device management user test:
State: Active
Service type: Telnet
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-operator
Password control configurations:
Password aging: Enable (20 days)
Password length: Enable (24 characters)
Password composition: Enable (4 types, 5 characters per type)
参考:https://www.h3c.com/cn/d_201908/1222094_30005_0.htm#_Ref147302506
