本章包含如下内容:
· 开启密码管理
· 配置全局密码管理
开启全局密码管理功能,是除密码的组合检测管理功能、密码最小长度管理功能以及检查密码中是否包含用户名或者字符顺序颠倒的用户名功能之外,其他密码管理功能生效的前提。若要使得具体的密码管理功能(密码老化、密码历史记录检测)生效,还需开启指定的密码管理功能。
开启全局密码管理功能,有以下配置限制和指导:
· 开启设备管理类本地用户全局密码管理功能后,设备管理类本地用户密码以及super密码的配置将不被显示,即无法通过相应的display命令查看到设备管理类本地用户密码以及super密码的配置。
· 开启网络接入类本地用户全局密码管理功能后,网络接入类本地用户密码配置将不被显示,即无法通过相应的display命令查看到网络接入类本地用户密码配置。
· 设置的本地用户密码必须至少由四个不同的字符组成。
· FIPS模式下,设备管理类本地用户的全局密码管理功能处开启状态,且不能关闭。
· Password Control会记录用户配置密码时的UTC时间。如果因设备断电重启等原因,UTC时间与Password Control记录的UTC时间不一致,可能导致密码老化管理功能出错。因此,为保证密码老化管理功能的正常工作,建议设备通过NTP(Network Time Protocol,网络时间协议)协议获取UTC时间。
· 开启全局密码管理功能后,设备自动生成后缀名为“dat”的文件并保存于存储介质中用于记录本地用户的认证、登录信息。请不要手工删除或修改该文件。
(1) 进入系统视图。
system-view
(2) 开启全局密码管理功能。
(非FIPS模式)
password-control enable [ network-class ]
缺省情况下,设备管理类本地用户和网络接入类本地用户全局密码管理功能均处于关闭状态。
(FIPS模式)
password-control enable [ network-class ]
缺省情况下,设备管理类本地用户全局密码管理功能处于开启状态,且不能关闭;网络接入类本地用户全局密码管理功能处于关闭状态。
(3) (可选)开启指定的密码管理功能。
password-control { aging | composition | history | length } enable
缺省情况下,各密码管理功能均处于开启状态。
系统视图下的全局密码管理参数对所有设备管理类和网络接入类的本地用户生效。
设备管理类用户支持所有的密码管理功能,其中对密码老化时间、密码最小长度、密码复杂度检查策略、密码组合策略以及用户登录尝试失败后的行为的配置,可分别在系统视图、用户组视图、本地用户视图下配置相关参数,其生效优先级从高到低依次为:本地用户视图->用户组视图->系统视图。
网络接入类用户支持的密码管理功能仅包括:配置密码最小长度、配置密码的复杂度检查策略、配置密码的组合策略、配置密码更新的最小时间间隔、配置每个用户密码历史记录的最大条数。其中对密码最小长度、密码复杂度检查策略以及密码组合策略的配置,可分别在系统视图、用户组视图、本地用户视图下配置相关参数,其生效优先级从高到低依次为:本地用户视图->用户组视图->系统视图。
除用户登录尝试失败后的行为配置属于即时生效的配置,会在配置生效后立即影响密码管理黑名单中当前用户的锁定状态以及这些用户后续的登录之外,其它全局密码管理配置生效后仅对后续登录的用户以及后续设置的用户密码有效,不影响当前用户。
(1) 进入系统视图。
system-view
(2) 控制密码设置
¡ 配置用户密码的最小长度。
(非FIPS模式)
password-control length length
缺省情况下,用户密码的最小长度为10个字符。
(FIPS模式)
password-control length length
缺省情况下,用户密码的最小长度为15个字符。
¡ 配置用户密码的组合策略。
(非FIPS模式)
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,密码元素的组合类型至少为2种,至少要包含每种元素的个数为1个。
(FIPS模式)
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,密码元素的组合类型至少为4种,至少要包含每种元素的个数为1个。
¡ 配置用户密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
(非FIPS模式下)
缺省情况下,对用户密码中是否包含用户名或者在字符顺序颠倒的用户名进行检查,但对用户密码中是否包含连续三个或以上的相同字符不进行检查。
(FIPS模式下)
缺省情况下,不对用户密码进行复杂度检查。
¡ 配置每个用户密码历史记录的最大条数。
password-control history max-record-number
缺省情况下,每个用户密码历史记录的最大条数为4条。
(3) 管理密码更新与老化
¡ 配置用户密码更新的最小时间间隔。
password-control update-interval interval
缺省情况下,用户密码更新的最小时间间隔为24小时。
¡ 配置用户密码的老化时间。
password-control aging aging-time
缺省情况下,用户密码的老化时间为90天。
¡ 配置密码过期前的提醒时间。
password-control alert-before-expire alert-time
缺省情况下,密码过期前的提醒时间为7天。
¡ 配置密码过期后允许用户登录的时间和次数。
password-control expired-user-login delay delay times times
缺省情况下,密码过期后的30天内允许用户登录3次。
(4) 控制用户登录
¡ 开启全用户线登录用户的黑名单功能。
password-control blacklist all-line
缺省情况下,开启全局密码管理功能后,全用户线登录用户的黑名单功能处于关闭状态,设备仅对通过FTP用户和通过VTY或Web方式访问设备的用户开启黑名单功能。
¡ 配置用户登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,用户登录尝试次数为3次;如果用户登录失败,则1分钟后再允许该用户重新登录。
¡ 配置用户帐号的闲置时间。
password-control login idle-time idle-time
缺省情况下,用户帐号的闲置时间为90天。
用户账号闲置超时后该账号将会失效,用户将无法正常登录设备。若不需要账号闲置时间检查功能,可将idle-time配置为0,表示Password Control对账号闲置时间无限制。
¡ 配置用户认证的超时时间。
password-control authentication-timeout timeout
缺省情况下,用户认证的超时时间为600秒。
本功能仅对telnet和终端接入类型的登录用户生效。
¡ 关闭首次登录修改密码功能。
undo password-control change-password first-login enable
FIPS模式下,首次登录修改密码功能不允许关闭。
¡ 开启弱密码登录修改密码功能。
password-control change-password weak-password enable
缺省情况下,弱密码登录修改密码功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 创建用户组,并进入用户组视图。
user-group group-name
缺省情况下,不存在任何用户组。
(3) 配置用户组的密码老化时间。
password-control aging aging-time
缺省情况下,采用全局密码老化时间。
(4) 配置用户组的密码最小长度。
password-control length length
缺省情况下,采用全局密码最小长度。
(5) 配置用户组密码的组合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,采用全局密码组合策略。
(6) 配置用户组密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
缺省情况下,采用全局密码复杂度检查策略。
(7) 配置用户组登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,采用全局的用户登录尝试限制策略。
(1) 进入系统视图。
system-view
(2) 创建设备管理类或网络接入类本地用户,并进入本地用户视图。
¡ 创建设备管理类本地用户,并进入本地用户视图
local-user user-name class manage
¡ 创建网络接入类本地用户,并进入本地用户视图。
local-user user-name class network
缺省情况下,不存在任何本地用户。
(3) 配置本地用户的密码老化时间。
password-control aging aging-time
缺省情况下,采用本地用户所属用户组的密码老化时间。
仅设备管理类本地用户支持此配置。
(4) 配置本地用户的密码最小长度。
password-control length length
缺省情况下,采用本地用户所属用户组的密码最小长度。
(5) 配置本地用户的密码组合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,采用本地用户所属用户组的密码组合策略。
(6) 配置本地用户密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
缺省情况下,采用本地用户所属用户组的密码复杂度检查策略。
(7) 配置本地用户登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,采用本地用户所属用户组的用户登录尝试限制策略。
仅设备管理类本地用户支持此配置。