1.1  Console口密码遗忘

1. 故障描述

Console口采用Password认证或AAA本地认证的情况下，管理员通过Console口登录设备时，因密码不正确而无法成功登录。

2. 常见原因

本类故障的常见原因主要包括：

·     管理员遗忘了Console口的登录密码或输入错误的密码。

·     Console口的登录账户已过期。

3. 故障分析

本类故障的诊断流程如图1-1所示。

图1-1 Console口密码遗忘故障诊断流程图

 

4. 处理步骤

(1)     确认是否能过通过Telnet/Stelnet方式登录设备。

如果管理员拥有Telnet/Stelnet账号，并且该账号拥有network-admin/level-15用户角色，则可以通过Telnet/Stelnet方式登录到设备后修改Console口登录相关配置。具体的处理步骤如下：

a.     使用Telnett/Stelnet账号登录设备，执行display line命令查看Console口所在用户线的认证方式。

<Sysname> display line

  Idx  Type     Tx/Rx      Modem Auth  Int          Location

  0    CON 0    9600       -     P     -            0/0

+ 81   VTY 0               -     N     -            0/0

...

以上显示信息中，“Auth”字段取值为P表示采用密码认证方式，取值为A表示采用AAA认证方式。

b.     确认当前登录的Telnet/Stelnet用户是否具有network-admin/level-15用户角色。

对于采用none或者password认证方式登录的用户，可在当前登录的用户线视图下查看用户角色配置是否为network-admin/level-15；对于采用scheme认证方式登录的用户，用户角色由AAA授权，需要查看对应的本地账号或远程账号的授权用户角色属性。

<Sysname> system-view

[Sysname-line-vty0] display this

#

line con 0

 authentication-mode password

 user-role network-admin

#

line vty 0 63

 authentication-mode none

 user-role network-admin

#

return

如果用户角色不是network-admin/level-15，则当前登录的账户没有更改Console口相关配置的权限，请执行步骤（2）；如果用户角色为network-admin/level-15，请根据Console口的认证方式采用不同的处理步骤。

c.     Console口采用密码认证方式的情况下，修改Console口认证密码。

进入Console口所在的用户线，设置新的密码（下例中为1234567890!）。同时，建议将用户角色设置为network-admin/level-15，避免Console口登录后用户权限过低。

[Sysname] line console 0

[Sysname-line-console0] set authentication password simple 1234567890!

[Sysname-line-console0] user-role network-admin

d.     Console口采用AAA本地认证方式的情况下，修改Console口的本地用户密码。

进入Console口登录所使用账户的本地用户视图，修改本地用户的密码（下例中用户名为admin，用户密码为1234567890!）。同时，建议将用户角色设置为network-admin/level-15，避免Console口登录后用户权限过低。

[Sysname] local-user admin class manage

[Sysname-luser-manage-admin] password simple 1234567890!

[Sysname-luser-manage-admin] authorization-attribute user-role network-admin

e.     Console口采用AAA远程认证方式的情况下，请联系AAA服务器管理员获取登录密码。

f.     为了防止重启后配置丢失，请执行save命令保存当前配置。

(2)     通过Console口连接设备后，断电重启设备，进入BootWare菜单。

 

系统启动后，如果未及时选择进入基本段，则会直接运行BootWare扩展段程序。当显示信息出现“Press Ctrl+B to access EXTENDED-BOOTWARE MENU...”时，键入<Ctrl+B>，系统会首先给出密码恢复功能是否开启的提示信息：

Password recovery capability is enabled.

Password recovery capability is disabled.

¡     密码恢复功能处于开启状态时，可以选择跳过Console口认证选项，或者跳过当前配置选项。具体操作过程请分别参见步骤（3）、（4）。

¡     密码恢复功能处于关闭状态时，可以选择恢复出厂配置选项。具体操作过程请执行步骤（5）。

(3)     通过BootWare扩展段菜单跳过Console口认证，登录后修改Console口密码。

直接回车，进入BootWare扩展段主菜单后，请按照系统提示选择相应的菜单选项跳过Console口认证（不同产品跳过Console口认证的菜单选项不同，请以实际情况为准）。系统启动后，不需要管理员输入Console口密码，会正常完成所有配置的加载。

a.     启动后，请尽快根据Console口采用的认证方式修改密码。

-     Console口采用密码认证方式的情况下，修改Console口认证密码。

进入Console口所在的用户线，设置新的密码（下例中为1234567890!）。同时，建议将用户角色设置为network-admin/level-15，避免Console口登录后用户权限过低。

<Sysname> system-view

[Sysname] line console 0

[Sysname-line-console0] set authentication password simple 1234567890!

[Sysname-line-console0] user-role network-admin

-     Console口采用AAA本地认证方式的情况下，修改Console口的本地用户密码。

进入Console口登录所使用账户的本地用户视图，修改本地用户的密码（下例中用户名为admin，用户密码为1234567890!）。同时，建议将用户角色设置为network-admin/level-15，避免Console口登录后用户权限过低。

<Sysname> system-view

[Sysname] local-user admin class manage

[Sysname-luser-manage-admin] password simple 1234567890!

[Sysname-luser-manage-admin] authorization-attribute user-role network-admin

b.     为了防止重启后配置丢失，请执行save命令保存当前配置。

(4)     通过BootWare扩展段菜单跳过当前配置，登录后配置新的Console口密码。

直接回车，进入BootWare扩展段主菜单后，请按照系统提示选择相应的菜单选项跳过当前配置（不同产品恢复出厂配置的菜单选项不同，请以实际情况为准）。系统启动时，将忽略配置文件中的所有配置以空配置进行启动（该选项每次设置后仅生效一次）。系统启动后，不需要管理员输入Console口密码。

a.     启动后，请尽快将原配置文件导出。在此操作过程中不要对设备进行断电。

-     方式一：通过FTP/TFTP方式将原配置文件导出到本地。

-     方式二：在用户视图下执行more命令查看原配置文件内容，将显示的所有原配置文件内容直接复制粘贴到本地文件中。

b.     手动修改本地配置文件中关于Console口登录的配置，将修改后的配置文件上传至设备存储介质的根目录下。

c.     配置下次启动时的配置文件为修改后的配置文件（假设修改后的配置文件为startup.cfg）。

<Sysname> startup saved-configuration startup.cfg

d.     重启设备。

(5)     通过BootWare扩展段菜单恢复出厂配置，登录后配置新的Console口密码。

 

直接回车，进入BootWare扩展段主菜单后，请按照系统提示选择相应的子菜单恢复出厂配置（不同产品恢复出厂配置的菜单选项不同，请以实际情况为准）。系统启动后，不需要管理员输入Console口密码。

a.     启动后，请根据实际需要配置Console口的登录认证方式，以及相关的登录密码或登录账户。

-     认证方式为none

<Sysname> system-view

[Sysname] line console 0

[Sysname-line-console0] authentication-mode none

[Sysname-line-console0] user-role network-admin

该方式下，用户不需要输入用户名和密码，就可以使用该用户线登录设备，存在安全隐患，请谨慎配置。

-     认证方式为密码认证

<Sysname> system-view

[Sysname] line console 0

[Sysname-line-console0] authentication-mode password

[Sysname-line-console0] set authentication password simple 1234567890!

[Sysname-line-console0] user-role network-admin

-     认证方式为本地AAA认证

<Sysname> system-view

[Sysname] line console 0

[Sysname-line-console0] authentication-mode scheme

[Sysname-line-console0] quit

[Sysname] local-user admin class manage

[Sysname-luser-manage-admin] service-type terminal

[Sysname-luser-manage-admin] password simple 1234567890!

[Sysname-luser-manage-admin] authorization-attribute user-role network-admin

-     认证方式为远程AAA认证

<Sysname> system-view

[Sysname] line console 0

[Sysname-line-console0] authentication-mode scheme

[Sysname-line-console0] quit

除此之外，还需要配置Login用户的认证域，以及RADIUS、HWTACACS或LDAP方案。相关配置的详细介绍请参见“安全配置指导”中的“AAA”。

b.     为了防止重启后配置丢失，请执行save命令保存当前配置。

(6)     如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

5. 告警与日志

相关告警

无

相关日志

无

1.2  Telnet登录密码遗忘

1. 故障描述

设备对Telnet登录用户采用Password认证或AAA本地认证的情况下，管理员遗忘Telnet账户密码无法登录设备。

2. 常见原因

本类故障的常见原因主要包括：

·     管理员遗忘了Telnet口的登录密码或输入错误的密码。

·     Telnet登录账户已过期。

3. 故障分析

本类故障的诊断流程如图1-2所示。

图1-2 Console口密码遗忘故障诊断流程图

 

4. 处理步骤

(1)     确认是否有其它方式可以登录设备。

如果Telnet登录密码丢失，可以通过其它方式（例如Console口）登录设备后重新进行配置。

a.     使用其它方式登录设备，执行display line命令查看VTY口所在用户线的认证方式。

<Sysname> display line

  Idx  Type     Tx/Rx      Modem Auth  Int          Location

+ 0    CON 0    9600       -     P     -            0/0

  81   VTY 0               -     P     -            0/0

...

以上显示信息中，“Auth”字段取值为P表示采用密码认证方式，取值为A表示采用AAA认证方式。

b.     根据VTY口的认证方式，采用不同的处理步骤重新设置新的登录密码。

-     采用密码认证

设置VTY登录用户的认证方式为密码认证，假设登录密码为1234567890!，用户角色为network-admin。

<Sysname> system-view

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode password

[Sysname-line-vty0-63] set authentication password simple 1234567890!

[Sysname-line-vty0-63] user-role network-admin

-     采用AAA本地认证

设置VTY登录用户的认证方式为AAA认证，假设登录使用的本地账户名为admin，使用的本地密码为1234567890!，用户角色为network-admin。

<Sysname> system-view

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

[Sysname-line-vty0-63] quit

[Sysname] local-user admin class manage

[Sysname-luser-manage-admin] service-type telnet

[Sysname-luser-manage-admin] password simple 1234567890!

[Sysname-luser-manage-admin] authorization-attribute user-role network-admin

如果忘记原有登录账户名，可参考以上步骤创建新的本地账户。

-     采用AAA远程认证

该认证方式下，请联系AAA服务器管理员获取登录密码。

(2)     如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

5. 告警与日志

相关告警

无

相关日志

无

1.3  SSH客户端登录设备失败

1. 故障描述

设备作为SSH服务器，用户使用SSH客户端登录设备失败。

2. 常见原因  

本类故障的常见原因主要包括：

·     SSH客户端与设备之间路由不通，无法建立TCP连接。

·     设备未开启SSH服务器功能。

·     设备上配置了对SSH客户端的访问控制，且客户端的IP地址不在ACL定义的permit规则范围内。

·     客户端指定的服务端口号与服务器端不一致。

·     设备上的SSH版本与客户端不兼容。

·     设备上未生成本地密钥对。

·     服务器主机密钥与设备上缓存的密钥不匹配。

·     用户线的认证方式或接入协议配置不正确。

·     设备上的本地用户视图下未配置SSH服务。

·     SSH用户的服务类型或认证方式配置不正确。

·     设备上SSH2协议使用的算法与客户端不匹配。

·     设备上VTY用户线资源不足。

·     设备上SSH登录用户数达到上限。

3. 故障分析

本类故障的诊断流程如图1-3所示。

图1-3 SSH登录失败故障诊断流程图

 

4. 处理步骤

(1)     检查客户端能否Ping通设备。

使用ping命令检查网络连接情况。

¡     如果Ping不通，请参见“Ping不通的定位思路”继续定位，确保SSH客户端能Ping通服务器端。

¡     如果可以Ping通，请执行步骤(2)。

(2)     检查SSH服务器功能是否开启。

当设备上出现如下日志时，表示SSH服务器功能未开启。

SSHS/6/SSHS_SRV_UNAVAILABLE: The SCP server is disabled or the SCP service type is not supported.

可以在设备上执行display ssh server status命令，检查Stelnet服务器功能、SFTP服务器功能、NETCONF over SSH服务器功能和SCP服务器功能是否按需开启。

<Sysname> display ssh server status

 Stelnet server: Disable

 SSH version : 2.0

 SSH authentication-timeout : 60 second(s)

 SSH server key generating interval : 0 hour(s)

 SSH authentication retries : 3 time(s)

 SFTP server: Disable

 SFTP Server Idle-Timeout: 10 minute(s)

 NETCONF server: Disable

 SCP server: Disable

¡     如果未开启，请在设备上执行如下命令，开启相关的SSH服务器功能。

<Sysname> system-view

[Sysname] ssh server enable

[Sysname] sftp server enable

[Sysname] scp server enable

[Sysname] netconf ssh server enable

¡     如果已开启，请执行步骤(3)。

(3)     检查是否设置了对客户端的访问控制。

首先检查设备上是否通过ssh server acl命令设置了对客户端的访问控制。

¡     如果已设置，请检查客户端的IP地址是否在ACL的permit规则中。

当设备上出现如下日志时，表示客户端的IP地址不在ACL的permit规则中。

SSHS/5/SSH_ACL_DENY: The SSH connection request from 181.1.1.10 was denied by ACL rule (rule ID=20).

SSHS/5/SSH_ACL_DENY: The SSH connection request from 181.1.1.11 was denied by ACL rule (default rule).

-     如果不在，请修改ACL配置，使得客户端的IP地址在ACL的permit规则中。如果对所有SSH客户端都不需要进行访问控制，请删除对客户端的访问控制。

-     如果在，请执行步骤(4)。

¡     如果未设置，请执行步骤(4)。

(4)     检查客户端指定的服务端口号是否与服务器端一致。

如果服务器端修改了SSH服务端口号，客户端仍然使用缺省端口号登录时，会出现登录失败。

以我司设备作为客户端为例，会出现如下错误提示信息：Failed to connect to host 10.1.1.1 port 100.

¡     如果客户端登录时指定的端口号与服务器端不一致，请在服务器端设备上执行display current-configuration | inc ssh命令查看服务器端配置的端口号，将客户端登录时指定的端口修改为与服务器端一致。

¡     如果客户端登录时指定的端口号与服务器端一致，请执行步骤(5)。

(5)     检查服务器的SSH版本与客户端版本是否兼容。

当设备上出现如下日志时，表示设备的SSH版本与客户端版本不兼容。

SSHS/6/SSHS_VERSION_MISMATCH: SSH client 192.168.30.117 failed to log in because of version mismatch.

如果使用SSH1版本的客户端登录设备，可以在设备上执行display ssh server status命令查看SSH version字段确认SSH版本。

¡     如果SSH version显示为1.99，则表示设备可以兼容SSH1版本的客户端，请执行步骤(6)。

¡     如果SSH version显示为2.0，请在设备上执行ssh server compatible-ssh1x enable命令设置设备兼容SSH1版本的客户端。

(6)     检查服务器上是否生成了本地密钥对。

设备作为SSH服务器时，必须配置本地非对称密钥对。虽然一个客户端只会采用DSA、ECDSA或RSA公钥算法中的一种来认证服务器，但是由于不同客户端支持的公钥算法不同，为了确保客户端能够成功登录服务器，建议在服务器上生成DSA、ECDSA和RSA三种密钥对。

在设备上执行display public-key local public命令查看当前设备上的密钥对信息。

¡     如果DSA、ECDSA和RSA三种密钥对都不存在，请执行public-key local create命令依次进行配置。

¡     如果已配置，请执行步骤(7)。

(7)     检查服务器主机密钥与客户端上缓存的服务器主机密钥对是否一致。

如果客户端首次登录服务器设备时选择保存了服务器端主机密钥，当服务器设备更新本地密钥对后，将会导致客户端认证服务端失败。

以我司设备作客户端为例，当客户端登录时，出现如下提示信息，则表示服务器主机密钥与客户端上本地缓存的密钥不一致。

The server's host key does not match the local cached key. Either the server administrator has changed the host key, or you connected to another server pretending to be this server. Please remove the local cached key, before logging in!

¡     如果不一致，请执行undo public-key peer命令，删除客户端保存的旧的服务端主机密钥。

¡     如果一致，请执行步骤(8)。

(8)     查看VTY用户线下配置的认证方式及允许接入的协议是否正确。

当客户端为Stelnet客户端和NETCONF over SSH客户端时，需要在VTY用户线视图下，执行display this命令查看配置的认证方式是否为scheme、允许接入的协议是否包含SSH。

[Sysname] line vty 0 63

[Sysname-line-vty0-63] display this

#

line vty 0 63

 authentication-mode scheme

 user-role network-admin

 idle-timeout 0 0

#

¡     如果认证方式或者接入协议配置不正确，请将认证方式修改为scheme、将允许接入的协议修改为包含SSH。

¡     如果均配置正确，请执行步骤(9)。

(9)     检查本地用户是否授权了SSH服务。（仅针对本地认证）

在本地用户视图下，执行display this命令查看用户可以使用的服务类型是否包含SSH。

[Sysname] local-user test

[Sysname-luser-manage-test] display this

#

local-user test class manage

 service-type ssh

 authorization-attribute user-role network-admin

 authorization-attribute user-role network-operator

#

¡     如果不包含，请在本地用户视图下通过service-type命令修改配置。

¡     如果包含，请执行步骤(10)。

如果为远程认证方式，请参见“AAA故障处理”进行定位。

(10)     检查是否配置了SSH用户并指定正确的服务类型和认证方式。

SSH支持Stelnet、SFTP、NETCONF和SCP四种用户服务类型。

首先，根据服务器采用的认证类型，根据如下规则，查看设备上是否创建正确的SSH用户。

¡     如果服务器采用了publickey认证，则必须在设备上创建相应的SSH用户，以及同名的本地用户（用于下发授权属性：工作目录、用户角色）。

¡     如果服务器采用了password认证，则必须在设备上创建相应的本地用户（适用于本地认证），或在远程服务器（如RADIUS服务器，适用于远程认证）上创建相应的SSH用户。这种情况下，并不需要通过本配置创建相应的SSH用户，如果创建了SSH用户，则必须保证指定了正确的服务类型以及认证方式。

¡     如果服务器采用了keyboard-interactive、password-publickey或any认证，则必须在设备上创建相应的SSH用户，以及在设备上创建同名的本地用户（适用于本地认证）或者在远程认证服务器上创建同名的SSH用户（如RADIUS服务器，适用于远程认证）。

接着，根据检查的结果，进行如下操作：

¡     如果未创建且无需创建，请执行步骤(11)；如果未创建但有需求创建，请通过ssh user命令进行配置。

¡     如果已创建，检查SSH用户的服务类型和认证方式。

-     SSH用户指定的服务类型必须与客户端类型（Stelnet客户端、SFTP客户端、SCP客户端和NETCONF over SSH客户端）相匹配，否则将会因为服务类型不匹配而登录失败。SSH用户服务类型是否正确，通过如下方式来检查：

以SCP客户端为例，如果设备上出现如下日志，表示服务类型不匹配。SSHS/6/SSHS_SRV_UNAVAILABLE: The SCP server is disabled or the SCP service type is not supported.

请在设备系统视图下执行ssh user命令，修改SSH用户的服务类型。

-     请在设备上执行display ssh user-information命令，查看SSH服务器采用的认证方式，根据具体的认证方式检查设备上SSH用户的配置是否正确。

(11)     检查设备上SSH2协议使用的算法列表是否与客户端匹配。

通过display ssh2 algorithm命令查看当前SSH2协议使用的算法列表，检查客户端支持的算法是否包含在算法列表中。比如，设备上配置了不使用CBC相关的加密算法，但SSH客户端仅支持CBC相关加密算法，将导致该客户端无法登录服务器。

当设备上出现如下日志信息时，表示设备上SSH2协议使用的算法列表是否与客户端不匹配。

SSHS/6/SSHS_ALGORITHM_MISMATCH: SSH client 192.168.30.117 failed to log in because of encryption algorithm mismatch.

¡     如果客户端使用的算法与设备上的算法不匹配，可通过如下两种方式进行修改：

-     设备可以通过执行ssh2 algorithm cipher、ssh2 algorithm key-exchange、ssh2 algorithm mac或ssh2 algorithm public-key命令修改相关算法列表，增加客户端支持的算法。

-     在客户端添加服务端支持的相关算法。

¡     如果客户端使用的算法与设备上的算法能够匹配，请执行步骤(12)。

(12)     检查设备上VTY用户数是否达到允许用户数的上限。

SSH用户与Telnet用户登录均使用VTY用户线，但是VTY用户线是有限资源。若VTY类型用户线都已被占用，则后续使用Stelnet及NETCONF over SSH服务的客户端将无法登录，使用SFTP及SCP服务的客户端不占用用户线资源，不受影响，仍可登录。

当设备上出现如下日志时，表示设备上VTY用户数已达到允许用户数的上限。

SSHS/6/SSHS_REACH_USER_LIMIT: SSH client 192.168.30.117 failed to log in, because the number of users reached the upper limit.

通过display line命令查看VTY用户线资源是否充足。

¡     如果VTY用户线资源不足，可将空闲且非scheme认证方式的VTY类型用户线认证方式修改为scheme认证方式；若所有VTY类型用户线都已是scheme认证方式且均处于active状态，可执行free line vty命令强制释放VTY用户线，使得新的SSH用户能够上线。

¡     如果VTY用户线资源充足，请执行步骤(13)。

(13)     检查登录服务器的SSH用户数是否达到允许用户数的上限。

通过display ssh server session命令查看服务器的会话信息，以及查看通过aaa session-limit ssh命令配置的SSH最大用户连接数。

当设备上出现如下日志时，表示登录服务器的SSH用户数已达到允许用户数的上限。

SSHS/6/SSHS_REACH_SESSION_LIMIT: SSH client 192.168.30.117 failed to log in. The number of SSH sessions is 10, and exceeded the limit (10).

¡     如果SSH会话数已达到上限，可通过执行aaa session-limit ssh命令调大上限；如果配置的最大用户连接数已为可配置的最大值，可客户端下线空闲的SSH客户端，使得新的SSH用户能够上线。

¡     如果未达上限，请执行步骤(14)。

(14)     如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

5. 告警与日志

相关告警

模块名：HH3C-SSH-MIB

·     hh3cSSHVersionNegotiationFailure (1.3.6.1.4.1.25506.2.22.1.3.0.2)

相关日志

·     SSHS/5/SSH_ACL_DENY

·     SSHS/6/SSHS_ALGORITHM_MISMATCH

·     SSHS/6/SSHS_REACH_SESSION_LIMIT

·     SSHS/6/SSHS_REACH_USER_LIMIT

·     SSHS/6/SSHS_SRV_UNAVAILABLE

·     SSHS/6/SSHS_VERSION_MISMATCH

1.4  管理员登录时系统要求修改密码

1. 故障描述

管理员采用本地认证方式登录设备时，系统判断密码强度不符合要求，提示用户修改当前的登录密码。

2. 常见原因

本类故障的常见原因主要包括：

·     本地用户视图下配置的Password Control密码检查强度高。

·     本地用户组视图下配置的Password Control密码检查强度高。

·     系统视图下配置的Password Control密码检查强度高。

3. 故障分析

本类故障的诊断流程如图1-4所示。

图1-4 管理员登录时要求修改密码故障诊断流程图

 

4. 处理步骤

(1)     判断是否降低当前密码检查强度。

开启全局密码管理功能后，通过Telnet、SSH、HTTP、HTTPS方式登录的设备管理类用户，输入登录密码时，系统会根据当前设定的Password control密码组合检测策略、密码最小长度限制以及密码复杂度检查策略检查对用户的登录密码进行检查，若不符合以上密码检查策略要求，则视为弱密码。系统缺省的密码检查策略请查看“安全配置指导”中的“Password Control”。

缺省情况下，用户使用弱密码登录设备时，系统会打印弱密码提示信息。如果当前的密码检查强度高于实际登录控制需求，请在确定修改范围（指定的本地用户、指定的用户组、所有本地用户）之后，按照如下步骤降低相应视图下的密码检查强度。

(2)     降低本地用户的Password Control密码检查强度。

执行local-user命令，进入本地用户视图：

¡     通过password-control composition命令配置密码组合策略（下例中密码元素的最少组合类型为4种，至少要包含每种元素的个数为5个）。

¡     通过password-control length命令配置密码最小长度（下例中密码最小长度为16个字符）。

¡     通过password-control complexity命令配置密码复杂度检查策略（下例中为检查密码中是否包含用户名）。

<Sysname> system-view

[Sysname] local-user test class manage

[Sysname-luser-manage-test] password-control composition type-number 4 type-length 5

[Sysname-luser-manage-test] password-control length 16

[Sysname-luser-manage-test] password-control complexity user-name check

(3)     降低用户组的Password Control密码检查强度。

执行user-group命令，进入本地用户视图：

¡     通过password-control composition命令配置密码组合策略。

¡     通过password-control length命令配置密码最小长度。

¡     通过password-control complexity命令配置密码复杂度检查策略。

(4)     降低所有本地用户的Password Control密码检查强度。

在系统视图下：

¡     通过password-control composition命令配置密码组合策略。

¡     通过password-control length命令配置密码最小长度。

¡     通过password-control complexity命令配置密码复杂度检查策略。

(5)     如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡     上述步骤的执行结果。

¡     设备的配置文件、诊断信息、提示信息。

5. 告警与日志

相关告警

无

相关日志

无

1.5  创建本地用户或配置用户密码失败

1. 故障描述

创建本地用户失败，系统打印提示信息“Add user failed.”。

配置本地用户密码失败，系统打印提示信息“Operation failed.”。

2. 常见原因

本类故障的常见原因主要包括：

·     设备的内存使用率达到指定门限。

·     设备的本地文件系统存储空间不足。

·     设备本地的lauth.dat文件异常。

3. 故障分析

本类故障的诊断流程如图1-5所示。

图1-5 创建本地用户或配置密码失败故障诊断流程图

 

4. 处理步骤

(1)     检查设备剩余空闲内存值是否进入指定的内存门限。

如果是修改本地用户密码失败，则无需关注内存门限问题，直接进入步骤（2）。

执行display memory-threshold命令查看显示内存告警门限相关信息，通过“Current free-memory state:”字段查看当前内存使用状态。系统内存进入一级（Minor）、二级（Severe）、三级（Critical）告警门限状态期间，不允许创建本地用户。

<Sysname> display memory-threshold

Memory usage threshold: 100%

Free-memory thresholds:

    Minor: 96M

    Severe: 64M

    Critical: 48M

    Normal: 128M

    Early-warning: 144M

    Secure: 160M

 

Current free-memory state: Normal (secure)

...

可在任意视图下通过执行monitor process命令查看进程统计信息，输入“m”后按照显示的内存排序定位占用内存资源过多的进程，按需进行内存清理。等待内存门限解除后，再次尝试创建本地用户。

(2)     检查设备的本地文件系统存储空间是否不足。

如果设备上输出如下任意一类日志信息，则表示文件系统异常导致此问题：

¡     PWDCTL/3/PWDCTL_FAILED_TO_OPENFILE: Failed to create or open the password file.

¡     PWDCTL/3/PWDCTL_FAILED_TO_WRITEPWD: Failed to write the password records to file.

¡     PWDCTL/3/PWDCTL_NOENOUGHSPACE: Not enough free space on the storage media where the file is located.

请在用户视图下执行dir命令查看本地存储介质（例如flash）的剩余容量信息，如果剩余空间不足，则需要删除无用的文件。

(3)     检查本地lauth.dat文件是否正常。

开启全局密码管理功能后，设备会自动生成lauth.dat文件记录本地用户的认证、登录信息。如果手工删除或修改该文件，会造成本地认证异常。请在用户视图下执行dir命令查看本地存储介质中（例如flash）的lauth.dat文件存在情况。

<Sysname> dir

Directory of flash: (EXT4)

   0 drw-           - Aug 16 2021 11:45:37   core

   1 drw-           - Aug 16 2021 11:45:42   diagfile

   2 drw-           - Aug 16 2021 11:45:57   dlp

   3 -rw-         713 Aug 16 2021 11:49:41   ifindex.dat

   4 -rw-         12  Sep 01 2021 02:40:01   lauth.dat

...

如果该文件不存在、大小为0或者很小（若小于20B，则大概率发生了异常），请优先联系技术支持人员协助处理，若当前配置需求紧迫，可尝试重新开启全局密码管理功能来解决此问题。

<Sysname> system-view

[Sysname] undo password-control enable

[Sysname] password-control enable

以上问题解决后，请尝试重新创建本地用户或配置用户密码。

(4)     如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、诊断信息、提示信息。

5. 告警与日志

相关告警

无

相关日志

·     PWDCTL/3/PWDCTL_FAILED_TO_WRITEPWD

·     PWDCTL/3/PWDCTL_FAILED_TO_OPENFILE

·     PWDCTL/3/PWDCTL_NOENOUGHSPACE

1.6  管理员因闲置超时无法登录

1. 故障描述

管理员采用本地认证方式登录设备时，因账户闲置超时无法成功登录，系统打印提示信息“Failed to login because the idle timer expired.”。

2. 常见原因

本类故障的主要原因为，用户自从最后一次成功登录之后，在配置的闲置时间内再未成功登录过，那么该闲置时间到达之后此用户账号立即失效，系统不再允许使用该账号的用户登录。

3. 故障分析

本类故障的诊断流程如图1-6所示。

图1-6 管理员因闲置超时无法登录故障诊断流程图

 

4. 处理步骤

(1)     确认是否有其它管理员或其它途径可以登录设备。

¡     如果有其它管理员或其它途径（例如Console口）可以登录设备，则表示仅该用户被禁止登录，因此可以由其它管理员登录后删除该本地用户后重新创建此用户，或修改用户账号的闲置时间（通过password-control login idle-time命令）。若将闲置时间修改为0，则会立即关闭闲置超时检查。

¡     如果无其它管理员或其它途径可以登录设备，则执行步骤（2）。

(2)     确认设备是否开启了SNMP功能。

尝试是否可以通过NMS（Network Management System，网络管理系统）登录设备：

¡     若开启了SNMP功能，则可以使用MIB修改系统时间，将系统时间修改为闲置超时之前的某个时间点，再使用此管理员帐号登录设备。修改系统时间对应的MIB节点为HH3C-SYS-MAN-MIB中的hh3cSysLocalClock (1.3.6.1.4.1.25506.2.3.1.1.1)。

管理员再次成功登录后，需要第一时间将系统时间恢复，并关闭用户账号闲置超时检查。

¡     若未开启SNMP功能，则无法使用MIB。可尝试重启设备，并按提示进入BootWare扩展段菜单后，选择跳过console口认证或者跳过配置文件选项来进入系统。建议在技术支持人员指导下执行此步骤。

(3)     如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、诊断信息、提示信息。

5. 告警与日志

相关告警

无

相关日志

无