Password-Control配置详细手册

i 目 录 1 Password Control配置.1-1 1.1 Password Control简介 1-1 1.2 Password Control配置任务简介1-3 1.3 配置Password Control 1-4 1.3.1 使能密码管理1-4 1.3.2 配置全局密码管理.1-4 1.3.3 配置用户组密码管理.1-6 1.3.4 配置本地用户密码管理 .1-6 1.3.5 配置super密码管理.1-7 1.3.6 以交互式方式设置本地用户密码.1-7 1.4 Password Control显示和维护1-7 1.5 Password Control典型配置举例1-8 1-1 1 Password Control 配置配置 1.1 Password Control 简介 Password Control（密码管理）是本地认证服务器提供的密码安全功能，它根据管理员设置的安 全策略对用户的登录密码、super 密码和用户的登录状态进行控制。密码管理功能实现的密码安 全策略包括： 1. 密码最小长度限制 根据系统安全需求不同，管理员可以设置用户密码的最小长度。当用户设置用户密码时，如果输 入的密码长度小于设置的最小长度，系统将不允许设置该密码，此时将显示出错信息，提醒用户 重新输入密码。 2. 密码更新间隔时间管理 管理员可以根据系统安全需求，设置用户登录设备后修改自身密码的最小间隔时间。当非管理级 别的用户登录设备修改自身密码时，如果距离上次修改密码的时间间隔小于配置值，则系统不允 许修改密码。例如，管理员配置用户密码更新间隔时间为 48 小时，那么用户在上次修改密码后 的 48 小时之内都无法成功进行密码修改操作。这样可以有效防止登录用户频繁进行修改密码的 操作。 ? 该功能对管理级别的用户不生效。 关于用户级别的详细介绍请参见 “基础配置指导” 中的 “CLI 配置”。 ? 有两种情况下的密码更新并不受该功能的约束： 用户首次登录设备时系统要求用户修改密码； 密码老化后系统要求用户修改密码。 3. 密码老化管理 密码老化时间用来限制用户密码的使用时间。当密码的使用时间超过老化时间超时后，需要用户更 换密码。 当用户登录时，如果用户输入已经过期的密码，系统将提示该密码已经过期，需要重新设置密码。 如果输入的新密码不符合要求，或连续两次输入的新密码不一致，系统将要求用户重新输入。 4. 密码过期提醒 在用户登录时，系统判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间 范围内，系统会提示该密码还有多久过期，并询问用户是否修改密码。如果用户选择修改，则记 录新的密码及其设定时间。如果用户选择不修改或者修改失败，则在密码未过期的情况下仍可以 正常登录。 在密码老化管理和密码过期提醒这两项功能中，不允许 FTP 用户更改密码，只能通过管理员修改 FTP 用户的密码；允许 Telnet、SSH、Terminal 用户自行修改密码。 1-2 5. 密码老化后允许登录管理 管理员可以设置用户密码过期后在指定的时间内还能登录设备指定的次数。这样，密码老化的用 户不需要立即更新密码，依然可以登录设备。例如，管理员设置密码老化后允许用户登录的时间 为 15 天、次数为 3 次，那么用户在密码老化后的 15 天内，还能继续成功登录 3 次。这样允许密 码过期的用户登录设备时不需要立即更新密码。 6. 密码历史记录 当用户修改密码时，系统会要求用户设置新的密码，旧的密码将被记录下来，形成该用户的密码 历史记录。如果用户新设置的密码以前被使用过，系统将给出错误提示，密码更改失败。 可以配置每个用户密码历史记录的最大条数，当密码历史记录的条数超过配置的最大历史记录条 数时，新的密码历史记录将覆盖该用户最老的一条密码历史记录。 7. 密码尝试次数限制 密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。 每次用户认证失败后，系统会将该用户加入黑名单。当用户连续尝试认证的失败累加次数达到设 置的尝试次数时，通过设置可以有三种选择： ? 永久禁止该用户登录。只有管理员把该用户从黑名单中删除后，该用户才能重新登录。 ? 不对该用户做禁止，允许其继续登录。在该用户登录成功或者黑名单的老化时间（系统规定 为 1 分钟）超时后，该用户会从黑名单中被删除。 ? 禁止该用户一段时间后， 再允许其重新登录。 当配置的禁止时间超时或者管理员将其从黑名 单中删除，该用户才可以重新登录。 ? 黑名单的最大条数为 1024。不存在的用户进行登录认证时将失败，但不将该用户加入黑名单 中。 ? FTP 用户和通过 VTY 方式访问设备的用户在认证失败后，会被加入黑名单。 ? WEB 用户认证失败不会加入黑名单。另外，通过 Console 或 AUX 连接到设备的用户，由于 系统无法获得其 IP 地址，且通过这两种方式访问设备的用户已经具备了一定的权限和安全 性，所以认证失败后也不会被加入黑名单。 8. 密码的组合检测功能 根据系统安全需求不同，管理员可以设置用户密码的组成元素的组合类型，以及至少要包含每种 元素的个数。密码的组成元素包括以下 4 种： ? AZ ? az ? 09 ? 32 个特殊字符（空格!#$%,./） 密码元素的组合级别为 14 级，级别表示设置密码时至少要包含的密码元素种类数目： ? 1 表示密码中至少包含 1 种元素； ? 2 表示密码中至少包含 2 种元素； ? 3 表示密码中至少包含 3 种元素； ? 4 表示密码中包含 4 种元素。 1-3 当用户设定或修改密码时，系统检查设定的密码是否符合配置要求。如果不符合，将给出错误提 示。 9. 密码的复杂度检测功能 密码的复杂度越低，其被破解的可能性就越大，比如包含用户名、使用重复字符等。出于安全性 考虑，管理员可以设置用户密码的复杂度检测功能，确保用户的密码具有较高的复杂度。具体实 现是：配置本地用户密码时，系统检测输入的密码是否符合一定的复杂度要求，如果不符合复杂 度要求，则提示密码配置失败。目前，复杂度检测功能对密码的复杂度要求包括： ? 密码中不能包含用户名或者颠倒的用户名。例如，用户名为“abc”，那么“abc982”或者 “2cba”之类的密码就不符合复杂度要求。 ? 密码中不能包含连续三个或以上的相同字符。例如，密码“a111”就不符合复杂度要求。 10. 密码回显为“*” 出于安全考虑，用户输入的密码中的每个字符均以“*”显示。 11. 认证超时管理 认证超时管理只针对 Telnet 用户。 认证过程的时间为：从服务器获得用户名到该用户的密码验证结束的时间。用户如果在规定时间 内没有完成认证，则认证失败，用户连接将被断开。 12. 用户帐号闲置时间管理 根据系统安全需求，管理员可以限制用户帐号的闲置时间，禁止在闲置时间之内始终处于不活动 状态的用户登录。若用户自从最后一次成功登录之后，在配置的闲置时间内再未成功登录过，那 么该闲置时间到达之后此用户账号立即失效，系统不再允许使用该用户账号登录。例如，管理员 配置用户帐号的闲置时间为 60天， 如果用户名为 test的用户自最后一次成功登录之后的 60天内， 都未成功登录过设备，那么该用户帐号 test 就会失效。 13. 日志功能 系统对用户成功修改密码事件和用户登录失败加入黑名单事件有相应的日志记录。 1.2 Password Control 配置任务简介 本特性的各功能可支持在多个视图下配置，各视图可支持的功能不同。而且，相同功能的命令在 不同视图下或针对不同密码时有效范围有所不同，具体情况如下： ? 系统视图下的全局配置对所有本地用户密码和 super 密码都有效； ? 用户组视图下的配置只对当前用户组内的所有本地用户密码有效； ? 本地用户视图下的配置只对当前的本地用户密码有效； ? 为 super 密码的各管理参数所作的配置只对 super 密码有效。 上述四者之间的优先级关系如下： ? 对于本地用户密码的各管理参数来说，其生效的优先级顺序由高到底依次为本地用户视图、 用户组视图、系统视图。 ? 对于 super 密码的各管理参数来说，系统优先采用单独为 super 密码所作的单独配置；如果 没有为 super 密码进行单独配置时，采用全局配置。 表1-1 Password Control 配置任务简介 配置任务 说明 详细配置 使能密码管理 必选 1.3.1 配置全局密码管理 可选 1.3.2 1-4 配置用户组密码管理 可选 1.3.3 配置本地用户密码管理 可选 1.3.4 配置 super 密码管理 可选 1.3.5 以交互式方式设置本地用户密码 可选 1.3.6 1.3 配置 Password Control 1.3.1 使能密码管理 使能密码管理功能包括两个部分： (1) 使能全局密码管理功能。只有使能全局密码管理功能后，密码管理相关的配置才能生效。 (2) 使能指定的密码管理功能。 某些密码安全策略在使能全局密码管理功能后， 还需要单独使能 指定的密码管理功能才能生效。这些密码管理功能包括： ? 密码老化管理 ? 密码最小长度管理 ? 密码历史记录管理 ? 密码组合检测管理功能 表1-2 使能密码管理 操作 命令 说明 进入系统视图 system-view - 使能全局密码管理功能 password-control enable 必选 缺省情况下，全局密码管理功能处于 未使能状态 使能指定的密码管理功能 password-control aging | composition | history | length enable 可选 缺省情况下，各密码管理功能均处于 使能状态 使能了全局密码管理功能后，设备上已配置的本地用户密码将不被显示，即无法通过相应的 display 命令查看本地用户密码。 1.3.2 配置全局密码管理 表1-3 配置全局密码管理 操作 命令 说明 进入系统视图 system-view - 配置密码的老化时间 password-control aging aging-time 可选 缺省情况下， 密码的老化时间为 90 天 1-5 操作 命令 说明 配置密码更新的最小时间间 隔 password-control password update interval interval 可选 缺省情况下，密码更新的最小时间间 隔为 24 小时 配置密码的最小长度 password-control length length 可选 缺省情况下， 密码的最小长度为 10 个 字符 配置用户密码的组合策略 password-control composition type-number policy-type type-length type-length 可选 缺省情况下，密码元素的组合类型至 少为 1 种，至少要包含每种元素的个 数为 1 个 配置用户密码的复杂度检查 策略 password-control complexity same-character | user-name check 可选 缺省情况下，不对用户密码进行复杂 度检查 配置每个用户密码历史记录 的最大条数 password-control history max-record-num 可选 缺省情况下，每个用户密码历史记录 的最大条数为 4 条 配置用户登录尝试次数以及 登录尝试失败后的行为 password-control login-attempt login-times exceed lock | unlock | lock-time time | unlock 可选 缺省情况下，用户登录尝试次数为 3 次；如果用户登录失败，则 1 分钟后 再允许该用户重新登录 配置密码老化前的提醒时间 password-control alert-before-expire alert-time 可选 缺省