- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
11-管理员
本章节下载: 11-管理员 (400.96 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 账户管理
○ 密码管理
○ 弱密码管理
· 配置指南
管理员通过SSH、Telnet、FTP、HTTP、HTTPS、终端接入(即从Console口接入)方式登录到设备上之后,可以对设备进行配置和管理。对登录用户的管理和维护主要涉及以下几个部分:
账户管理:对用户的基本信息(用户名、密码)以及相关属性的管理。
角色管理:对用户可执行的系统功能的管理。
密码管理:对用户密码设置控制、密码更新与老化以及用户登录控制等方面进行管理。
为使请求某种服务的用户可以成功登录设备,需要在设备上添加相应的账户。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。一个有效的用户条目中可包括用户名、密码、角色、可用服务、密码管理等属性。
为了提高用户登录密码的安全性,可通过定义密码管理策略对用户的登录密码进行管理,并对用户的登录状态进行控制。管理员密码管理界面下的配置为全局配置,对所有用户生效。新建或修改指定管理员界面下的配置本文称之为本地用户密码管理配置,只对当前用户生效。本地用户密码管理中的配置优先级高于全局配置。
管理员可以限制用户密码的最小长度。当设置用户密码时,如果输入的密码长度小于设置的密码最小长度,系统将不允许设置该密码。
为确保用户的登录密码具有较高的复杂度,要求管理员为其设置的密码必须符合一定的复杂度要求,只有符合要求的密码才能设置成功。目前,可配置的复杂度要求包括:
· 不允许密码中包含用户名或颠倒的用户名。例如,用户名为“abc”,那么“abc982”或者“2cba”之类的密码就不符合复杂度要求。本功能在本地用户密码管理界面和全局密码管理界面均开启才生效。
· 不允许密码中包含连续三个或以上的相同字符。例如,密码“a111”就不符合复杂度要求。本功能在本地用户密码管理或全局密码管理界面任一位置开启都生效。
本功能需在全局密码管理对应功能开启的情况下,本地用户密码管理下的配置才生效。管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元素包括以下4种类型:
· [A~Z]
· [a~z]
· [0~9]
· 32个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密码元素的组合类型有4种,具体涵义如下:
· 组合类型为1表示密码中至少包含1种元素;
· 组合类型为2表示密码中至少包含2种元素;
· 组合类型为3表示密码中至少包含3种元素;
· 组合类型为4表示密码中包含4种元素。
当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。
管理员可以设置用户登录设备后修改自身密码的最小间隔时间。有两种情况下的密码更新并不受该功能的约束:开启密码管理后,用户首次登录设备时系统要求用户修改密码和密码老化后系统要求用户修改密码。
本功能需在全局密码管理对应功能开启的情况下,本地用户密码管理下的配置才生效。当用户登录密码的使用时间超过密码老化时间后,需要用户更换密码。如果用户输入的新密码不符合要求,或连续两次输入的新密码不一致,系统将要求用户重新输入。对于FTP用户,密码老化后,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。
在用户登录时,系统会判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。对于FTP用户,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。
管理员可以设置用户密码过期后在指定的时间内还能登录设备的次数。这样,密码老化的用户不需要立即更新密码,依然可以登录设备。例如,管理员设置密码老化后允许用户登录的时间为15天、次数为3次,那么用户在密码老化后的15天内,还能继续成功登录3次。
管理员可以设置系统保存用户密码历史记录。当用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在当前用户密码历史记录中,系统将提示用户密码更改失败。另外,用户更改密码时,系统会将新设置的密码与所有历史记录密码以及当前密码逐一比较,要求新密码至少与旧密码有4字符不同。并且,这4个字符必须互不相同,否则密码更改失败。
可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。
由于设备管理类本地用户配置的密码在哈希运算后以密文的方式保存,配置一旦生效后就无法还原为明文密码,因此,设备管理类本地用户的当前登录密码不会被记录到密码历史记录中。
密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。本功能需在全局密码管理对应功能开启的情况下,本地用户密码管理下的配置才生效。
每次用户认证失败后,系统会将该用户加入密码管理的黑名单。可加入密码管理功能黑名单的用户包括:FTP用户和通过VTY方式访问设备的用户。不会加入密码管理功能黑名单的用户包括:用户名不存在的用户、通过Console口连接到设备的用户。
当用户连续尝试认证的失败累加次数达到用户登录尝试的最大次数时,系统对用户的后续登录行为有以下三种处理措施:
· 永久禁止登录。只有管理员把该用户从密码管理的黑名单中删除后,该用户才能重新登录。
· 暂时禁止登录。当配置的禁止时间超时或者管理员将其从密码管理的黑名单中删除,该用户才可以重新登录。
· 允许继续登录。在该用户登录成功后,该用户会从密码管理的黑名单中删除。
管理员可以限制用户帐号的闲置时间。在配置的闲置时间内,用户从未成功登录过,此用户账户将失效,系统不再允许使用该帐号的用户登录。
若管理员设置的密码为弱密码,无论密码管理是否开启,设备都在用户登录时弹框提示,建议修改密码。
弱密码的判断条件包括以下几项,只要其中一项不符合,系统就识别为弱密码:
· 密码长度检查。有关此项详细介绍,请参见上文中的“密码长度检查”。
· 密码组合检查。有关此项详细介绍,请参见上文中的“密码组合检查”。
· 密码中不能包括用户名或者字符顺序颠倒的用户名。有关此项详细介绍,请参见上文中的“密码复杂度检查”。
· 不允许密码中包含连续三个或以上的相同字符。此项弱密码判断条件仅当密码管理功能开启后才生效。有关此项详细介绍,请参见上文中的“密码复杂度检查”。
可以根据实际使用场景,开启“弱密码时强制修改密码”功能。本功能仅对后续新登录的用户生效,不影响当前已登录用户。当用户使用弱密码登录,若未开启本功能,系统仅在登录时弹框建议修改弱密码,但不强制。用户可以忽略提示,继续登录设备。若开启了本功能,系统会强制要求修改为非弱密码才允许登录设备。管理员开启“弱密码时强制修改密码”功能时,必须至少配置一项弱密码判断条件。
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
· 当前用户登录密码尝试失败次数到配置的最大值后,无法使用自己的IP地址访问设备。
· 修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 若要使得具体的密码管理功能生效,需在管理员页面菜单栏的<密码管理>中开启密码管理功能。
· 管理员页面和本地用户页面中的密码管理功能相互关联,相同配置项的参数共用,一个页面中修改参数后,另一页面自动同步修改。
· 开启密码管理之后,设置的登录用户密码必须至少由四个不同的字符组成。
· 对于FTP用户,密码过期后,系统不允许其继续登录,也不允许FTP用户自行更改密码,只能由管理员修改FTP用户的密码。
· 由于FTP用户不支持计费,因此FTP用户不受同时在线最大用户数限制。
· 在管理员页面菜单栏的<密码管理>中配置的内容对所有设备管理类的本地用户生效。对于密码老化时间、密码最小长度、密码复杂度检查、密码组合检查和密码尝试次数这几种功能,可分别在<密码管理>和新建管理员页面的高级设置中配置相关参数,其生效优先级从高到低依次为:新建管理员页面的配置->密码管理中的配置。
新建管理员具体配置步骤如下:
1. 单击“系统管理 > 用户管理 > 管理员”。
2. 在“管理员”页面单击<新建>按钮,进入“新建管理员”页面。
3. 在“新建管理员”页面的具体配置内容如下表所示:
表-1 配置管理员参数表
|
参数 |
说明 |
|
用户名 |
网络接入类用户,用于通过设备接入网络,访问网络资源的用户名 |
|
密码和确认密码 |
用户进行接入认证所使用的密码 |
|
管理员角色 |
对登录用户权限的控制,是通过为用户赋予一定的角色来实现。一个角色中定义了允许用户执行的系统功能 |
|
用户组 |
每一个用户都属于一个用户组,并继承组中的所有属性 |
|
可用服务 |
可用服务是用户可使用的网络服务类型。该属性是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法通过认证 |
|
同时在线最高值 |
使用当前用户名接入设备的最大用户数目。若当前该用户名的接入用户数已达最大值,则使用该用户名的新用户将被禁止接入 |
|
FTP目录 |
授权用户可以访问的目录 |
4. 单击<确定>按钮,新建管理员成功,且会在“管理员”页面中显示。
配置密码管理具体配置步骤如下:
1. 单击“系统管理 > 用户管理 > 管理员”。
2. 在“管理员”页面单击<密码管理>按钮,进入“管理员密码管理”页面。
3. 在“管理员密码管理”页面的具体配置内容如下表所示:
表-2 配置密码管理参数表
|
参数 |
说明 |
|
开启密码管理 |
开启登陆密码的一些相关检查 |
|
开启密码长度检查 |
用于限制用户密码的最小长度,取值范围为4-32 |
|
开启密码组合检查 |
设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元素包括以下4种类型: · [A~Z] · [a~z] · [0~9] · 32个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./) 组合类型的取值范围为1-4,即上述类型中选取的个数 每种类型包含的元素个数取值范围为1-63 |
|
开启密码中用户名检查 |
禁止密码中包含用户名或者字符顺序颠倒的用户名 |
|
弱密码时强制修改密码 |
如果当前用户密码符合弱密码的判断条件,会被强制修改密码。 |
4. 单击<确定>按钮,完成密码管理的配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
