【信息网络学习 H3C设备配置密码管理】

发表于 更新于

Password Control(密码管理)是本地认证服务器提供的密码安全功能,它根据设置的策略对密码进行控制。

在H3C模拟器上进行密码管理的配置,系统版本v7。

原理

密码管理功能实现的密码安全策略包括:

  1. 密码最小长度限制
  2. 密码更新间隔时间管理
  3. 密码老化管理
  4. 密码过期提醒
  5. 密码老化后允许登录管理
  6. 密码历史记录
  7. 密码尝试次数限制
  8. 密码的组合检测功能
  9. 密码的复杂度检测功能
  10. 密码回显为“****”
  11. 认证超时管理
  12. 用户帐号闲置时间管理
  13. 日志功能

配置

使能密码管理

操作 命令 说明
进入系统视图 system-view -
使能全局密码管理功能 password-control enable **[必选]**缺省情况下,全局密码管理功能处于未使能状态
使能指定的密码管理功能 password-control { aging / composition / history / length } enable [可选]缺省情况下,各密码管理功能均处于使能状态

全局密码管理

操作 命令 说明
进入系统视图 system-view -
配置密码的老化时间 password-control aging aging-time [可选]缺省情况下,密码的老化时间为90天
配置密码更新的最小时间间隔 password-control password update interval interval [可选]缺省情况下,密码更新的最小时间间隔为24小时
配置密码的最小长度 password-control length length [可选]缺省情况下,密码的最小长度为10个字符
配置用户密码的组合策略 password-control composition type-number policy-type [ type-length type-length ] [可选]缺省情况下,密码元素的组合类型至少为1种,至少要包含每种元素的个数为1个
配置用户密码的复杂度检查策略 password-control complexity { same-character / user-name } check [可选]缺省情况下,不对用户密码进行复杂度检查
配置每个用户密码历史记录的最大条数 password-control history max-record-num [可选]缺省情况下,每个用户密码历史记录的最大条数为4条
配置用户登录尝试次数以及登录尝试失败后的行为 password-control login-attempt login-times [ exceed { lock / unlock / lock-time time } ] [可选]缺省情况下,用户登录尝试次数为3次;如果用户登录失败,则1分钟后再允许该用户重新登录
配置密码老化前的提醒时间 password-control alert-before-expire alert-time [可选]缺省情况下,密码老化前的提醒时间为7天
配置密码过期后允许用户登录的时间和次数 password-control expired-user-login delay delay times times [可选]缺省情况下,密码过期后的30天内允许用户登录3次
配置用户认证的超时时间 password-control authentication-timeout authentication-timeout [可选]缺省情况下,用户认证的超时时间为60秒
配置用户帐号的闲置时间 password-control login idle-time idle-time [可选]缺省情况下,用户帐号的闲置时间为90天

用户组密码管理

操作 命令 说明
进入系统视图 system-view -
创建用户组,并进入用户组视图 user-group group-name -
配置用户组的密码老化时间 password-control aging aging-time [可选]缺省情况下,采用全局密码老化时间
配置用户组的密码最小长度 password-control length length [可选]缺省情况下,采用全局密码最小长度
配置用户组的密码组合策略 password-control composition type-number type-number [ type-length type-length ] [可选]缺省情况下,采用全局密码组合策略

本地用户密码管理

操作 命令 说明
进入系统视图 system-view -
创建本地用户,并进入本地用户视图 local-user user-name -
配置本地用户的密码老化时间 password-control aging aging-time [可选]缺省情况下,采用本地用户所属用户组的密码老化时间,若用户组未配置该值,则采用全局配置
配置本地用户的密码最小长度 password-control length length [可选]缺省情况下,采用本地用户所属用户组的密码最小长度,若用户组未配置该值,则采用全局配置
配置本地用户的密码组合策略 password-control composition type-number type-number [ type-length type-length ] [可选]缺省情况下,采用本地用户所属用户组的密码组合策略,若用户组未配置该值,则采用全局配置

super密码管理

操作 命令 说明
进入系统视图 system-view -
配置super密码的老化时间 password-control super aging aging-time [可选]缺省情况下,密码的老化时间为90天
配置super密码的最小长度 password-control super length length [可选]缺省情况下,密码的最小长度为10个字符
配置super密码的组合策略 password-control super composition type-number type-number [ type-length type-length ] [可选]缺省情况下,密码元素的组合类型至少为1种,至少要包含每种元素的个数为1个

实验

组网需求

有以下密码管理需求:

  • 全局密码管理策略:用户2次登录失败后就永久禁止登录;密码老化时间为30天;允许用户进行密码更新的最小时间间隔为36小时;密码过期后60天内允许登录5次;用户帐号的闲置时间为30天;不允许密码中包含用户名或者颠倒用户名;不允许密码中包含连续三个或以上字符。

  • super密码管理策略:密码元素的最少组合类型为3种,至少要包含每种元素的个数为5个。

  • 本地Telnet用户test的密码管理策略:最小密码长度为12个字符,密码元素的最少组合类型为2种,至少要包含每种元素的个数为5个,密码老化时间为20天。

配置步骤

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
# 全局密码配置
[H3C]password-control enable
[H3C]password-control login-attempt 2 exceed lock
[H3C]password-control aging 30
[H3C]password-control update-interval 36
[H3C]password-control expired-user-login delay 60 times 5
[H3C]password-control login idle-time 30
[H3C]password-control complexity user-name check
[H3C]password-control complexity same-character check

# super密码配置
[H3C]password-control super composition type-number 3 type-length 5

# 本地用户密码配置
[H3C]local-user test
[H3C-luser-manage-test]service-type telnet
[H3C-luser-manage-test]password-control length 12
[H3C-luser-manage-test]password-control composition type-number 2 type-length 5
[H3C-luser-manage-test]password-control aging 20


# dis密码控制信息
[H3C]dis password-control
 Global password control configurations:
 Password control:                    Enabled
 Password aging:                      Enabled (30 days)
 Password length:                     Enabled (10 characters)
 Password composition:                Enabled (1 types, 1 characters per type)
 Password history:                    Enabled (max history records:4)
 Early notice on password expiration: 7 days
 Maximum login attempts:              2
 Action for exceeding login attempts: Lock
 Minimum interval between two updates:36 hours
 User account idle time:              30 days
 Logins with aged password:           5 times in 60 days
 Password complexity:                 Enabled (username checking)
                                      Enabled (repeated characters checking)

[H3C]dis password-control super
 Super password control configurations:
 Password aging:                      Enabled (90 days)
 Password length:                     Enabled (10 characters)
 Password composition:                Enabled (3 types, 5 characters per type)

[H3C]dis local-user user-name test class manage
Total 1 local users matched.

Device management user test:
  State:                     Active
  Service type:              Telnet
  User group:                system
  Bind attributes:
  Authorization attributes:
    Work directory:          flash:
    User role list:          network-operator
  Password control configurations:
    Password aging:          20 days
    Password length:         12 characters
    Password composition:    2 types, 5 characters per type

参考

  1. H3C S5820X[S5800]系列以太网交换机 配置指导-Release 1211-6W100 安全配置指导 Password Control配置-新华三集团-H3C(http://www.h3c.com/cn/d_201104/713866_30005_0.htm)