08-Password Control配置
本章节下载: 08-Password Control配置 (243.46 KB)
· 设备运行于FIPS模式时,本特性的部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
· 本章中典型配置举例中的配置,如无特殊说明,均以设备运行在非FIPS模式下的命令行为准。
Password Control(密码管理)是本地认证服务器提供的密码安全功能,它根据管理员设置的安全策略对用户的登录密码、super密码和用户的登录状态进行控制。密码管理功能实现的密码安全策略包括:
根据系统安全需求不同,管理员可以设置用户密码的最小长度。当用户设置用户密码时,如果输入的密码长度小于设置的最小长度,系统将不允许设置该密码,此时将显示出错信息,提醒用户重新输入密码。
管理员可以根据系统安全需求,设置用户登录设备后修改自身密码的最小间隔时间。当非管理级别的用户登录设备修改自身密码时,如果距离上次修改密码的时间间隔小于配置值,则系统不允许修改密码。例如,管理员配置用户密码更新间隔时间为48小时,那么用户在上次修改密码后的48小时之内都无法成功进行密码修改操作。这样可以有效防止登录用户频繁进行修改密码的操作。
· 该功能对管理级别的用户不生效。关于用户级别的详细介绍请参见“基础配置指导”中的“CLI”。
· 有两种情况下的密码更新并不受该功能的约束:用户首次登录设备时系统要求用户修改密码;密码老化后系统要求用户修改密码。
密码老化时间用来限制用户密码的使用时间。当密码的使用时间超过老化时间超时后,需要用户更换密码。
当用户登录时,如果用户输入已经过期的密码,系统将提示该密码已经过期,需要重新设置密码。如果输入的新密码不符合要求,或连续两次输入的新密码不一致,系统将要求用户重新输入。
在用户登录时,系统判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。
在密码老化管理和密码过期提醒这两项功能中,不允许FTP用户更改密码,只能通过管理员修改FTP用户的密码;允许Telnet、SSH、Terminal用户自行修改密码。
管理员可以设置用户密码过期后在指定的时间内还能登录设备指定的次数。这样,密码老化的用户不需要立即更新密码,依然可以登录设备。例如,管理员设置密码老化后允许用户登录的时间为15天、次数为3次,那么用户在密码老化后的15天内,还能继续成功登录3次。这样允许密码过期的用户登录设备时不需要立即更新密码。
当用户修改密码时,系统会要求用户设置新的密码,旧的密码将被记录下来,形成该用户的密码历史记录。如果用户新设置的密码以前被使用过,系统将给出错误提示,密码更改失败。另外,用户更改密码时,系统会将新设置的密码与密码历史记录以及当前密码相比较,要求新密码至少要与旧密码有4字符不同,且这4个字符必须互不相同,否则密码更改失败。
可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。
密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。
每次用户认证失败后,系统会将该用户加入密码管理黑名单。当用户连续尝试认证的失败累加次数达到设置的尝试次数时,通过设置可以有三种选择:
· 永久禁止该用户登录。只有管理员把该用户从密码管理黑名单中删除后,该用户才能重新登录。
· 不对该用户做禁止,允许其继续登录。在该用户登录成功或者密码管理黑名单的老化时间(系统规定为1分钟)超时后,该用户会从该黑名单中被删除。
· 禁止该用户一段时间后,再允许其重新登录。当配置的禁止时间超时或者管理员将其从密码管理的黑名单中删除,该用户才可以重新登录。
· 密码管理的黑名单的最大条数为1024。不存在的用户进行登录认证时将失败,但不将该用户加入黑名单中。
· FTP用户和通过VTY方式访问设备的用户在认证失败后,会被加入密码管理的黑名单。
· 通过Console口连接到设备的用户,由于系统无法获得其IP地址,且通过这两种方式访问设备的用户已经具备了一定的权限和安全性,所以认证失败后不会被加入密码管理的黑名单。
根据系统安全需求不同,管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元素包括以下4种:
· [A~Z]
· [a~z]
· [0~9]
· 32个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密码元素的组合级别为1~4级,级别表示设置密码时至少要包含的密码元素种类数目:
· 1表示密码中至少包含1种元素;
· 2表示密码中至少包含2种元素;
· 3表示密码中至少包含3种元素;
· 4表示密码中包含4种元素。
当用户设定或修改密码时,系统检查设定的密码是否符合配置要求。如果不符合,将给出错误提示。
密码的复杂度越低,其被破解的可能性就越大,比如包含用户名、使用重复字符等。出于安全性考虑,管理员可以设置用户密码的复杂度检测功能,确保用户的密码具有较高的复杂度。具体实现是:配置本地用户密码时,系统检测输入的密码是否符合一定的复杂度要求,如果不符合复杂度要求,则提示密码配置失败。目前,复杂度检测功能对密码的复杂度要求包括:
· 密码中不能包含用户名或者颠倒的用户名。例如,用户名为“abc”,那么“abc982”或者“2cba”之类的密码就不符合复杂度要求。
· 密码中不能包含连续三个或以上的相同字符。例如,密码“a111”就不符合复杂度要求。
出于安全考虑,用户输入的密码中的每个字符均以“*”显示。
认证超时管理只针对Telnet用户。
认证过程的时间为:从服务器获得用户名到该用户的密码验证结束的时间。用户如果在规定时间内没有完成认证,则认证失败,用户连接将被断开。
根据系统安全需求,管理员可以限制用户帐号的闲置时间,禁止在闲置时间之内始终处于不活动状态的用户登录。若用户自从最后一次成功登录之后,在配置的闲置时间内再未成功登录过,那么该闲置时间到达之后此用户账号立即失效,系统不再允许使用该用户账号登录。例如,管理员配置用户帐号的闲置时间为60天,如果用户名为test的用户自最后一次成功登录之后的60天内,都未成功登录过设备,那么该用户帐号test就会失效。
系统对用户成功修改密码事件和用户登录失败加入密码管理的黑名单事件有相应的日志记录。
本特性的各功能可支持在多个视图下配置,各视图可支持的功能不同。而且,相同功能的命令在不同视图下或针对不同密码时有效范围有所不同,具体情况如下:
· 系统视图下的全局配置对所有本地用户密码和super密码都有效;
· 用户组视图下的配置只对当前用户组内的所有本地用户密码有效;
· 本地用户视图下的配置只对当前的本地用户密码有效;
· 为super密码的各管理参数所作的配置只对super密码有效。
上述四者之间的优先级关系如下:
· 对于本地用户密码的各管理参数来说,其生效的优先级顺序由高到底依次为本地用户视图、用户组视图、系统视图。
· 对于super密码的各管理参数来说,系统优先采用单独为super密码所作的单独配置;如果没有为super密码进行单独配置时,采用全局配置。
表1-1 Password Control配置任务简介
配置任务 |
说明 |
详细配置 |
使能密码管理 |
必选 |
|
配置全局密码管理 |
可选 |
|
配置用户组密码管理 |
可选 |
|
配置本地用户密码管理 |
可选 |
|
配置super密码管理 |
可选 |
|
以交互式方式设置本地用户密码 |
可选 |
使能密码管理功能包括两个部分:
(1) 使能全局密码管理功能。只有使能全局密码管理功能后,密码管理相关的配置才能生效。
(2) 使能指定的密码管理功能。某些密码安全策略在使能全局密码管理功能后,还需要单独使能指定的密码管理功能才能生效。这些密码管理功能包括:
· 密码老化管理
· 密码最小长度管理
· 密码历史记录管理
· 密码组合检测管理功能
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
使能全局密码管理功能 |
password-control enable |
必选 缺省情况下,全局密码管理功能处于未使能状态 |
使能指定的密码管理功能 |
password-control { aging | composition | history | length } enable |
可选 缺省情况下,各密码管理功能均处于使能状态 |
· 使能了全局密码管理功能后,设备上已配置的本地用户密码将不被显示,即无法通过相应的display命令查看本地用户密码。
· 使能了全局密码管理功能后,为保证用户密码符合安全要求,Telnet、SSH、Terminal用户首次登录设备时,系统会提示用户进行密码修改。由于FTP用户没有交互修改密码的功能,故开启此功能后,需要管理员在设备上对FTP用户密码进行修改,否则FTP用户无法正常登录。
· 未使能全局密码管理功能时:没有用户密码历史记录,用户新配置的密码可以和当前密码相同。
· 使能了全局密码管理功能,但密码历史记录功能未使能时:没有用户密码历史记录,用户新配置的密码可以和当前密码相同。
· 使能了全局密码管理功能,并使能了密码历史记录管理功能时:用户更改密码时,系统会将新设置的密码与密码历史记录以及当前密码相比较,要求新密码至少要与旧密码有4字符不同,且这4个字符必须互不相同,否则密码更改失败。
· 未使能全局密码管理功能时:密码的最小长度为1个字符。
· 使能了全局密码管理功能,未使能密码最小长度管理功能时:非FIPS模式下密码的最小长度为4个字符;FIPS模式下密码的最小长度为8个字符。密码中至少有四个字符不同。
· 使能了全局密码管理功能,并通过password-control length enable命令使能了密码最小长度管理功能时:密码的最小长度为n个字符。(n为通过password-control length length命令配置的密码最小长度)。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置密码的老化时间 |
password-control aging aging-time |
可选 缺省情况下,密码的老化时间为90天 |
配置密码更新的最小时间间隔 |
password-control password update interval interval |
可选 缺省情况下,密码更新的最小时间间隔为24小时 |
配置密码的最小长度 |
password-control length length |
可选 缺省情况下,密码的最小长度为10个字符 |
配置用户密码的组合策略 |
password-control composition type-number policy-type [ type-length type-length ] |
可选 非FIPS模式的缺省情况下,密码元素的组合类型至少为1种,至少要包含每种元素的个数为1个 FIPS模式的缺省情况下,密码元素的组合类型至少为4种,至少要包含每种元素的个数为1个 |
配置用户密码的复杂度检查策略 |
password-control complexity { same-character | user-name } check |
可选 缺省情况下,不对用户密码进行复杂度检查 |
配置每个用户密码历史记录的最大条数 |
password-control history max-record-num |
可选 缺省情况下,每个用户密码历史记录的最大条数为4条 |
配置用户登录尝试次数以及登录尝试失败后的行为 |
password-control login-attempt login-times [ exceed { lock | unlock | lock-time time } ] |
可选 缺省情况下,用户登录尝试次数为3次;如果用户登录失败,则1分钟后再允许该用户重新登录 |
配置密码老化前的提醒时间 |
password-control alert-before-expire alert-time |
可选 缺省情况下,密码老化前的提醒时间为7天 |
配置密码过期后允许用户登录的时间和次数 |
password-control expired-user-login delay delay times times |
可选 缺省情况下,密码过期后的30天内允许用户登录3次 |
配置用户认证的超时时间 |
password-control authentication-timeout authentication-timeout |
可选 缺省情况下,用户认证的超时时间为60秒 |
配置用户帐号的闲置时间 |
password-control login idle-time idle-time |
可选 缺省情况下,用户帐号的闲置时间为90天 |
用户登录尝试失败后的行为的配置属于即时生效的配置,会在配置生效后立即影响密码管理黑名单中当前用户的锁定状态以及这些用户后续的登录,而其它配置生效后仅对后续登录的用户以及后续设置的用户密码有效,不影响当前用户。
表1-4 配置用户组密码管理
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建用户组,并进入用户组视图 |
user-group group-name |
- |
配置用户组的密码老化时间 |
password-control aging aging-time |
可选 缺省情况下,采用全局密码老化时间 |
配置用户组的密码最小长度 |
password-control length length |
可选 缺省情况下,采用全局密码最小长度 |
配置用户组的密码组合策略 |
password-control composition type-number type-number [ type-length type-length ] |
可选 缺省情况下,采用全局密码组合策略 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建本地用户,并进入本地用户视图 |
local-user user-name |
- |
配置本地用户的密码老化时间 |
password-control aging aging-time |
可选 缺省情况下,采用本地用户所属用户组的密码老化时间,若用户组未配置该值,则采用全局配置 |
配置本地用户的密码最小长度 |
password-control length length |
可选 缺省情况下,采用本地用户所属用户组的密码最小长度,若用户组未配置该值,则采用全局配置 |
配置本地用户的密码组合策略 |
password-control composition type-number type-number [ type-length type-length ] |
可选 缺省情况下,采用本地用户所属用户组的密码组合策略,若用户组未配置该值,则采用全局配置 |
· 系统命令行采用分级保护方式:命令行级别由低到高被划分为访问级、监控级、系统级、管理级4个级别。同时对登录用户划分等级,分为4级,分别与上述的命令行级别对应,即不同级别的用户登录后,只能使用等于或低于自己级别的命令。
· 为了防止未授权用户的非法侵入,在从低级别用户切换到高级别用户时,要进行用户身份验证,即需要输入高级别用户密码,这个高级别的密码就被称为super密码。关于super密码的详细介绍,请参见“基础配置指导”中的“CLI”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置super密码的老化时间 |
password-control super aging aging-time |
可选 缺省情况下,采用全局密码老化时间 |
配置super密码的最小长度 |
password-control super length length |
可选 缺省情况下,采用全局密码最小长度 |
配置super密码的组合策略 |
password-control super composition type-number type-number [ type-length type-length ] |
可选 缺省情况下,采用全局密码组合策略 |
以交互方式设置本地用户密码时会要求用户在输入本地密码后进行密码确认。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建本地用户,并进入本地用户视图 |
local-user user-name |
- |
以交互式方式设置本地用户密码 |
password |
必选 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后Password Control的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除Password Control统计信息。
操作 |
命令 |
显示密码管理的配置信息 |
display password-control [ super ] [ | { begin | exclude | include } regular-expression ] |
显示用户认证失败后,被加入密码管理黑名单中的用户信息 |
display password-control blacklist [ user-name name | ip ipv4-address | ipv6 ipv6-address ] [ | { begin | exclude | include } regular-expression ] |
清除密码管理黑名单中的用户 |
reset password-control blacklist [ all | user-name name ] |
清除用户的密码历史记录 |
reset password-control history-record [ user-name name | super [ level level ] ] |
当密码历史记录功能未启动时,reset password-control history-record命令同样可以清除全部或者某个用户的密码历史记录。
有以下密码管理需求:
· 全局密码管理策略:用户2次登录失败后就永久禁止登录;密码老化时间为30天;允许用户进行密码更新的最小时间间隔为36小时;密码过期后60天内允许登录5次;用户帐号的闲置时间为30天;不允许密码中包含用户名或者颠倒用户名;不允许密码中包含连续三个或以上字符。
· super密码管理策略:密码元素的最少组合类型为3种,至少要包含每种元素的个数为5个。
· 本地Telnet用户test的密码管理策略:最小密码长度为12个字符,密码元素的最少组合类型为2种,至少要包含每种元素的个数为5个,密码老化时间为20天。
# 使能全局密码管理功能。
<Sysname> system-view
[Sysname] password-control enable
# 配置用户2次登录失败后就永久禁止该用户登录。
[Sysname] password-control login-attempt 2 exceed lock
# 配置全局的密码老化时间为30天。
[Sysname] password-control aging 30
# 配置密码更新的最小时间间隔为36小时。
[Sysname] password-control password update interval 36
# 配置用户密码过期后的60天内允许登录5次。
[Sysname] password-control expired-user-login delay 60 times 5
# 配置用户帐号的闲置时间为30天。
[Sysname] password-control login idle-time 30
# 使能在配置的密码中检查包含用户名或者颠倒的用户名的功能。
[Sysname] password-control complexity user-name check
# 使能在配置的密码中检查包含连续三个或以上相同字符的功能。
[Sysname] password-control complexity same-character check
# 配置super密码元素的最少组合类型为3种,至少要包含每种元素的个数为5个。
[Sysname] password-control super composition type-number 3 type-length 5
# 配置super密码。
[Sysname] super password level 3 simple 12345ABGFTweuix
# 添加本地用户test。
[Sysname] local-user test
# 配置本地用户的服务类型为Telnet。
[Sysname-luser-test] service-type telnet
# 配置本地用户的最小密码长度为12个字符。
[Sysname-luser-test] password-control length 12
# 配置本地用户的密码元素的最少组合类型为2种,至少要包含每种元素的个数为5个。
[Sysname-luser-test] password-control composition type-number 2 type-length 5
# 配置本地用户的密码老化时间为20天。
[Sysname-luser-test] password-control aging 20
# 以交互式方式配置本地用户密码。
[Sysname-luser-test] password
Password:***********
Confirm :***********
Updating user(s) information, please wait........
[Sysname-luser-test] quit
# 可通过如下命令查看全局密码管理的配置信息。
<Sysname> display password-control
Global password control configurations:
Password control: Enabled
Password aging: Enabled (30 days)
Password length: Enabled (10 characters)
Password composition: Enabled (1 types, 1 characters per type)
Password history: Enabled (max history record:4)
Early notice on password expiration: 7 days
User authentication timeout: 60 seconds
Maximum failed login attempts: 2 times
Login attempt-failed action: Lock
Minimum password update time: 36 hours
User account idle-time: 30 days
Login with aged password: 5 times in 60 day(s)
Password complexity: Enabled (username checking)
Enabled (repeated characters checking)
# 可通过如下命令查看super密码管理的配置信息。
<Sysname> display password-control super
Super password control configurations:
Password aging: Enabled (30 days)
Password length: Enabled (10 characters)
Password composition: Enabled (3 types, 5 characters per type)
# 可通过如下命令查看到本地用户密码管理的配置信息。
<Sysname> display local-user user-name test
The contents of local user test:
State: Active
ServiceType: telnet
Access-limit: Disable Current AccessNum: 0
User-group: system
Bind attributes:
Authorization attributes:
Password aging: Enabled (20 days)
Password length: Enabled (12 characters)
Password composition: Enabled (2 types, 5 characters per type)
Total 1 local user(s) matched.
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!