06-Password Control配置
本章节下载: 06-Password Control配置 (216.34 KB)
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
Password Control(密码管理)是设备提供的密码安全管理功能,它根据管理员定义的安全策略,对设备管理类的本地用户登录密码、super密码的设置、老化、更新等方面进行管理,并对用户的登录状态进行控制。
· 本地用户包括两种类型,设备管理类(manage)和网络接入类(network)。Password Control功能仅对设备管理类本地用户的登录密码进行控制,对网络接入类本地用户的密码不起作用。关于本地用户类型的详细介绍,请参见“安全配置指导”中的“AAA”。
· 为了防止未授权用户的非法侵入,在进行用户角色切换时,要进行用户身份验证,即需要输入用户角色切换密码,这个密码就被称为super密码。关于super密码的详细介绍,请参见“基础配置指导”中的“RBAC”。
管理员可以限制用户密码的最小长度。当设置用户密码时,如果输入的密码长度小于设置的最小长度,系统将不允许设置该密码。
管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元素包括以下4种类型:
· [A~Z]
· [a~z]
· [0~9]
· 32个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密码元素的组合类型有4种,具体涵义如下:
· 组合类型为1表示密码中至少包含1种元素;
· 组合类型为2表示密码中至少包含2种元素;
· 组合类型为3表示密码中至少包含3种元素;
· 组合类型为4表示密码中包含4种元素。
当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。
· 密码中不能包含用户名或者字符顺序颠倒的用户名。例如,用户名为“abc”,那么“abc982”或者“2cba”之类的密码就不符合复杂度要求。
· 密码中不能包含连续三个或以上的相同字符。例如,密码“a111”就不符合复杂度要求。
管理员可以设置用户登录设备后修改自身密码的最小间隔时间。当用户登录设备修改自身密码时,如果距离上次修改密码的时间间隔小于配置值,则系统不允许修改密码。例如,管理员配置用户密码更新间隔时间为48小时,那么用户在上次修改密码后的48小时之内都无法成功进行密码修改操作。
有两种情况下的密码更新并不受该功能的约束:用户首次登录设备时系统要求用户修改密码;密码老化后系统要求用户修改密码。
密码老化时间用来限制用户密码的使用时间。当密码的使用时间超过老化时间后,需要用户更换密码。
当用户登录时,如果用户输入已经过期的密码,系统将提示该密码已经过期,需要重新设置密码。如果输入的新密码不符合要求,或连续两次输入的新密码不一致,系统将要求用户重新输入。对于FTP用户,密码老化后,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。
在用户登录时,系统判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。对于FTP用户,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。
管理员可以设置用户密码过期后在指定的时间内还能登录设备指定的次数。这样,密码老化的用户不需要立即更新密码,依然可以登录设备。例如,管理员设置密码老化后允许用户登录的时间为15天、次数为3次,那么用户在密码老化后的15天内,还能继续成功登录3次。
系统保存用户密码历史记录。当用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在当前用户密码历史记录中,系统将给出错误信息,提示用户密码更改失败。另外,用户更改密码时,系统会将新设置的密码逐一与所有记录的历史密码以及当前密码比较,要求新密码至少要与旧密码有4字符不同,且这4个字符必须互不相同,否则密码更改失败。
可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。
由于为设备管理类本地用户配置的密码在哈希运算后以密文的方式保存,配置一旦生效后就无法还原为明文密码,因此,设备管理类本地用户的当前登录密码,不会被记录到该用户的密码历史记录中。
当全局密码管理功能使能后,用户首次登录设备时,系统会输出相应的提示信息要求用户修改密码,否则不允许登录设备。这种情况下的修改密码不受密码更新时间间隔的限制。
密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。
每次用户认证失败后,系统会将该用户加入密码管理的黑名单。可加入密码管理功能黑名单的用户包括:FTP用户和通过VTY方式访问设备的用户。不会加入密码管理功能黑名单的用户包括:用户名不存在的用户、通过Console口连接到设备的用户。
当用户连续尝试认证的失败累加次数达到设置的尝试次数时,系统对用户的后续登录行为有以下三种处理措施:
· 永久禁止该用户登录。只有管理员把该用户从密码管理的黑名单中删除后,该用户才能重新登录。
· 不对该用户做禁止,允许其继续登录。在该用户登录成功后,该用户会从密码管理的黑名单中删除。
· 禁止该用户一段时间后,再允许其重新登录。当配置的禁止时间超时或者管理员将其从密码管理的黑名单中删除,该用户才可以重新登录。
当用户成功修改密码或用户登录失败加入密码管理黑名单时,系统将会记录相应的日志。
本特性的各功能可支持在多个视图下配置,各视图可支持的功能不同。而且,相同功能的命令在不同视图下或针对不同密码时有效范围有所不同,具体情况如下:
· 用户组视图下的配置只对当前用户组内的所有本地用户密码有效;
· 为super密码的各管理参数所作的配置只对super密码有效。
对于本地用户密码的各管理参数,其生效的优先级顺序由高到低依次为本地用户视图、用户组视图、系统视图。
表1-1 Password Control配置任务简介
配置super密码管理 |
使能全局密码管理功能,是密码管理所有配置生效的前提。若要使得具体的密码管理功能(密码老化、密码最小长度、密码历史记录、密码组合检测)生效,还需使能指定的密码管理功能。
· 设备管理类本地用户密码以及super密码的配置将不被显示,即无法通过相应的display命令查看到设备管理类本地用户密码以及super密码的配置。网络接入类本地用户密码不受密码管理功能控制,其配置显示也不受影响。
· 首次设置的设备管理类本地用户密码必须至少由四个不同的字符组成。
· Password Control会记录用户配置密码时的UTC时间。如果因设备断电重启等原因,UTC时间与Password Control记录的UTC时间不一致,可能导致密码老化管理功能出错。因此,为保证密码老化管理功能的正常工作,建议设备通过NTP(Network Time Protocol,网络时间协议)协议获取UTC时间。关于NTP的详细介绍,请参见“网络管理和监控配置指导”中的“NTP”。
非FIPS模式下: FIPS模式下: |
||
password-control { aging | composition | history | length } enable |
非FIPS模式下: FIPS模式下: |
||
password-control composition type-number type-number [ type-length type-length ] |
非FIPS模式下: 缺省情况下,密码元素的组合类型至少为1种,至少要包含每种元素的个数为1个 FIPS模式下: 缺省情况下,密码元素的组合类型至少为4种,至少要包含每种元素的个数为1个 |
|
password-control complexity { same-character | user-name } check |
||
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ] |
缺省情况下,用户登录尝试次数为3次;如果用户登录失败,则1分钟后再允许该用户重新登录 |
|
缺省情况下,密码过期后的30天内允许用户登录3次 |
||
表1-6 配置super密码管理
配置super密码的老化时间 |
||
配置super密码的最小长度 |
非FIPS模式下: FIPS模式下: |
|
配置super密码的组合策略 |
password-control super composition type-number type-number [ type-length type-length ] |
非FIPS模式下: 缺省情况下,密码元素的组合类型至少为1种,至少要包含每种元素的个数为1个 FIPS模式下: 缺省情况下,密码元素的组合类型至少为4种,至少要包含每种元素的个数为1个 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后Password Control的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除Password Control统计信息。
display password-control blacklist [ user-name name | ip ipv4-address | ipv6 ipv6-address ] |
|
reset password-control history-record [ user-name name | super [ role role-name ] ] |
当密码历史记录功能未启动时,reset password-control history-record命令同样可以清除全部或者某个用户的密码历史记录。
· 全局密码管理策略:用户2次登录失败后就永久禁止登录;最小密码长度为16个字符,密码老化时间为30天;允许用户进行密码更新的最小时间间隔为36小时;密码过期后60天内允许登录5次;用户帐号的闲置时间为30天;不允许密码中包含用户名或者字符顺序颠倒的用户名;不允许密码中包含连续三个或以上相同字符;密码元素的最少组合类型为4种,至少要包含每种元素的个数为4个。
· 切换到用户角色network-operator时使用的super密码管理策略:最小密码长度为24个字符,密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
· 本地Telnet用户test的密码管理策略:最小密码长度为24个字符,密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个,密码老化时间为20天。
# 使能全局密码管理功能。
[Sysname] password-control enable
# 配置用户2次登录失败后就永久禁止该用户登录。
[Sysname] password-control login-attempt 2 exceed lock
# 配置全局的密码老化时间为30天。
[Sysname] password-control aging 30
# 配置全局的密码的最小长度为16。
[Sysname] password-control length 16
# 配置密码更新的最小时间间隔为36小时。
[Sysname] password-control update-interval 36
# 配置用户密码过期后的60天内允许登录5次。
[Sysname] password-control expired-user-login delay 60 times 5
# 配置用户帐号的闲置时间为30天。
[Sysname] password-control login idle-time 30
# 使能在配置的密码中检查包含用户名或者字符顺序颠倒的用户名的功能。
[Sysname] password-control complexity user-name check
# 使能在配置的密码中检查包含连续三个或以上相同字符的功能。
[Sysname] password-control complexity same-character check
# 配置全局的密码元素的最少组合类型为4种,至少要包含每种元素的个数为4个。
[Sysname] password-control composition type-number 4 type-length 4
# 配置super密码的最小长度为24。
[Sysname] password-control super length 24
# 配置super密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
[Sysname] password-control super composition type-number 4 type-length 5
# 配置切换到用户角色network-operator时使用的super密码为明文123456789ABGFTweuix@#$%!。
[Sysname] super password role network-operator simple 123456789ABGFTweuix@#$%!
Updating user information. Please wait ... ...
# 添加设备管理类本地用户test。
[Sysname] local-user test class manage
# 配置本地用户的服务类型为Telnet。
[Sysname-luser-manage-test] service-type telnet
# 配置本地用户的最小密码长度为24个字符。
[Sysname-luser-manage-test] password-control length 24
# 配置本地用户的密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
[Sysname-luser-manage-test] password-control composition type-number 4 type-length 5
# 配置本地用户的密码老化时间为20天。
[Sysname-luser-manage-test] password-control aging 20
# 以交互式方式配置本地用户密码。
[Sysname-luser-manage-test] password
Password:
Confirm :
Updating user information. Please wait ... ...
[Sysname-luser-manage-test] quit
# 可通过如下命令查看全局密码管理的配置信息。
<Sysname> display password-control
Global password control configurations:
Password control: Enabled
Password aging: Enabled (30 days)
Password length: Enabled (16 characters)
Password composition: Enabled (4 types, 4 characters per type)
Password history: Enabled (max history record:4)
Early notice on password expiration: 7 days
Maximum login attempts: 2
Action for exceeding login attempts: Lock
Minimum interval between two updates: 36 hours
User account idle time: 30 days
Logins with aged password: 5 times in 60 days
Password complexity: Enabled (username checking)
Enabled (repeated characters checking)
# 可通过如下命令查看super密码管理的配置信息。
<Sysname> display password-control super
Super password control configurations:
Password aging: Enabled (90 days)
Password length: Enabled (24 characters)
Password composition: Enabled (4 types, 5 characters per type)
# 可通过如下命令查看到本地用户密码管理的配置信息。
<Sysname> display local-user user-name test class manage
Total 1 local users matched.
Device management user test:
State: Active
Service type: Telnet
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-operator
Password control configurations:
Password aging: Enabled (20 days)
Password length: Enabled (24 characters)
Password composition: Enabled (4 types, 5 characters per type)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!