管理员

本帮助主要介绍以下内容:

特性简介

管理员通过SSH、Telnet、FTP、HTTP、HTTPS、终端接入(即从Console口接入)方式登录到设备上之后,可以对设备进行配置和管理。对登录用户的管理和维护主要涉及以下几个部分:

账户管理:对用户的基本信息(用户名、密码)以及相关属性的管理。

角色管理:对用户可执行的系统功能的管理。

密码管理:对用户密码设置控制、密码更新与老化以及用户登录控制等方面进行管理。

账户管理

为使请求某种服务的用户可以成功登录设备,需要在设备上添加相应的账户。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。一个有效的用户条目中可包括用户名、密码、角色、可用服务、密码管理等属性。

角色管理

对登录用户权限的控制,是通过为用户赋予一定的角色来实现。一个角色中定义了允许用户执行的系统功能,例如,定义用户角色规则允许用户配置A功能,或禁止用户配置B功能。

角色规则

一个角色规则中定义了允许/禁止用户操作某类实体的权限。

Web界面支持的实体类型为Web菜单,即通过Web对设备进行配置时,各配置页面以Web菜单的形式组织,按照层次关系,形成多级菜单的树形结构。

对实体的操作权限包括:

读权限:可查看指定实体的配置信息和维护信息。

写权限:可配置指定实体的相关功能和参数。

执行权限:可执行特定的功能,如与FTP服务器建立连接。

定义一个规则,就等于约定允许或禁止用户针对某类实体具有哪些操作权限。对于Web菜单实体,控制Web菜单的规则就是用来控制指定的Web菜单选项是否允许被操作。因为每个菜单项中的操作控件具有相应的读,写或执行属性,所以定义基于Web菜单的规则时,可以精细地控制菜单项中读、写或执行控件的操作。

缺省角色

系统预定义了多种角色,角色名和对应的权限如表-1所示。这些缺省角色均具有不同的系统功能操作权限。如果系统预定义的用户角色无法满足权限管理需求,管理员还可以自定义用户角色来对用户权限做进一步控制。

表-1 系统预定义的角色名和对应的权限

角色名

权限

超级管理员

超级管理员拥有操作设备所有功能的权限

安全管理员

安全管理员拥有配置安全业务功能和监控安全业务处理状态的权限

审计管理员

审计管理员仅拥有审计设备操作的权限

系统管理员

系统管理员拥有配置设备系统功能和监控设备运行状态的权限

虚拟设备超级管理员

虚拟设备超级管理员拥有操作虚拟设备所有功能的权限

虚拟设备超级管理员的支持情况与设备型号有关,请以设备的实际情况为准

虚拟系统超级管理员

虚拟系统超级管理员拥有操作虚拟系统所有功能的权限

虚拟系统超级管理员的支持情况与设备型号有关,请以设备的实际情况为准

为用户赋予角色

根据用户认证登录方式的不同,为用户授权角色分为以下几类:

对于通过本地AAA认证登录设备的用户,由本地用户配置决定为其授权的用户角色。

对于通过AAA远程认证登录设备的用户,由AAA服务器的配置决定为其授权的用户角色。

将有效的角色成功授权给用户后,登录设备的用户才能以各角色所具有的权限来配置、管理或者监控设备。如果用户没有被授权任何角色,将无法成功登录设备。

一个用户同时只能拥有一个角色。

密码管理

为了提高用户登录密码的安全性,可通过定义密码管理策略对用户的登录密码进行管理,并对用户的登录状态进行控制。

密码长度检查

管理员可以限制用户密码的最小长度。当设置用户密码时,如果输入的密码长度小于设置的密码最小长度,系统将不允许设置该密码。缺省情况下,密码的最小长度为10个字符。

密码复杂度检查

为确保用户的登录密码具有较高的复杂度,要求管理员为其设置的密码必须符合一定的复杂度要求,只有符合要求的密码才能设置成功。目前,可配置的复杂度要求包括:

本功能在本地用户密码管理界面和全局密码管理界面均开启才生效

本功能在本地用户密码管理或全局密码管理界面任一位置开启都生效

密码组合检查

管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。

本功能需在全局密码管理对应功能开启的情况下,本地用户密码管理下的配置才生效

密码的组成元素包括以下4种类型:

密码元素的组合类型有4种,具体涵义如下:

当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。

密码更新

管理员可以设置用户登录设备后修改自身密码的最小间隔时间。有两种情况下的密码更新并不受该功能的约束:开启密码管理后,用户首次登录设备时系统要求用户修改密码和密码老化后系统要求用户修改密码。

密码老化

当用户登录密码的使用时间超过密码老化时间后,需要用户更换密码。如果用户输入的新密码不符合要求,或连续两次输入的新密码不一致,系统将要求用户重新输入。对于FTP用户,密码老化后,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。缺省情况下,密码的老化时间为90天。

本功能需在全局密码管理对应功能开启的情况下,本地用户密码管理下的配置才生效

密码过期提醒

在用户登录时,系统会判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。对于FTP用户,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。

密码过期后允许登录

管理员可以设置用户密码过期后在指定的时间内还能登录设备的次数。这样,密码老化的用户不需要立即更新密码,依然可以登录设备。例如,管理员设置密码老化后允许用户登录的时间为15天、次数为3次,那么用户在密码老化后的15天内,还能继续成功登录3次。

密码历史记录

管理员可以设置系统保存用户密码历史记录。当用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在当前用户密码历史记录中,系统将提示用户密码更改失败。另外,用户更改密码时,系统会将新设置的密码与所有历史记录密码以及当前密码逐一比较,要求新密码至少与旧密码有4字符不同。并且,这4个字符必须互不相同,否则密码更改失败。

可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。

由于设备管理类本地用户配置的密码在哈希运算后以密文的方式保存,配置一旦生效后就无法还原为明文密码,因此,设备管理类本地用户的当前登录密码不会被记录到密码历史记录中。

密码尝试次数限制

密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。

本功能需在全局密码管理对应功能开启的情况下,本地用户密码管理下的配置才生效

每次用户认证失败后,系统会将该用户加入密码管理的黑名单。可加入密码管理功能黑名单的用户包括:FTP用户和通过VTY方式访问设备的用户。不会加入密码管理功能黑名单的用户包括:用户名不存在的用户、通过Console口连接到设备的用户。

当用户连续尝试认证的失败累加次数达到用户登录尝试的最大次数时,系统对用户的后续登录行为有以下三种处理措施:

缺省情况下,用户登录尝试次数为3次。如果用户登录失败,则允许该用户在1分钟后重新登录。

账号闲置时间管理

管理员可以限制用户账号的闲置时间。管理员用户创建后,需要成功登录一次设备,账号闲置时间才能生效,在配置的闲置时间内,用户从未成功登录,该用户将被锁定,无法登录。

弱密码管理

若管理员设置的密码为弱密码,无论密码管理是否开启,设备都在用户登录时弹框提示,建议修改密码。

弱密码的判断条件包括以下几项,只要其中一项不符合,系统就识别为弱密码:

可以根据实际使用场景,开启“弱密码时强制修改密码”功能。本功能仅对后续新登录的用户生效,不影响当前已登录用户。当用户使用弱密码登录,若未开启本功能,系统仅在登录时弹框建议修改弱密码,但不强制。用户可以忽略提示,继续登录设备。若开启了本功能,系统会强制要求修改为非弱密码才允许登录设备。管理员开启“弱密码时强制修改密码”功能时,必须至少配置一项弱密码判断条件。

vSystem相关说明

非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。

使用限制和注意事项

配置指南

新建管理员

  1. 选择“系统 > 管理员 > 管理员”。

  2. 在“管理员”页面配置相关内容,具体配置内容如下表所示:

    表-2 管理员参数配置

    参数

    说明

    用户名

    设备管理类用户,用于登录设备,对设备进行配置和监控

    密码和确认密码

    用户进行接入认证所使用的密码

    管理员角色

    对登录用户权限的控制,是通过为用户赋予一定的角色来实现。不同的管理员角色拥有不同的系统功能

    用户组

    每一个用户都属于一个用户组,并继承组中的所有属性

    可用服务

    指用户可使用的服务类型。该属性是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法通过认证

    同时在线最高值

    使用当前用户名接入设备的最大用户数目。若当前该用户名的接入用户数已达最大值,则使用该用户名的新用户将被禁止接入

    FTP目录

    授权用户可以访问的目录,且该目录必须已经存在

  3. (可选)高级设置,具体包括如下表所示:

    表-3 高级设置参数表

    参数

    说明

    密码最小长度

    限制设置密码的最小长度

    密码组成元素的最少类型

    选择密码包含的种类个数

    每种类型最少包含个数

    每种类型密码包含的个数

    当没有填写密码组成元素的最少类型时,此功能不支持

    开启密码老化

    开启设备密码老化功能,超过设定的时间后需要用户修改密码

    密码老化时间

    当密码的使用时间超过老化时间后,需要用户更换密码,此功能需要在密码管理中开启相关功能才能生效

    不允许密码中包含用户名或颠倒的用户名

    密码中禁止出现用户名或颠倒的用户名相关字符

    不允许密码中包含连续三个或以上相同的字符

    密码中禁止连续出现三个或三个以上的相同字符,此功能需要在密码管理中开启相关功能才能生效

    用户登录尝试的最大次数

    当前用户尝试登录的最大次数,可在后续选择登录失败的处理方式,此功能需要在密码管理中开启相关功能才能生效

    登录次数超过最大值后的处理方式

    • 永久禁止登录

    • 在指定时间内禁止登录

    • 允许继续登录

    当没有填写用户尝试登录的最大次数时,此功能不支持

    禁止登录时长

    禁止用户登录设备的时长

  4. 单击<确定>按钮,新建管理员成功,且会在“管理员”页面中显示。

密码管理

  1. 单击“系统 > 管理员 > 管理员”。

  2. 在“管理员”页面单击<密码管理>按钮,进入“管理员密码管理”页面。

  3. 在“管理员密码管理”页面的具体配置内容如下表所示:

    表-4 密码管理参数配置

    参数

    说明

    开启密码管理

    开启全局登录密码的一些相关配置

    开启密码长度检查

    开启密码最小长度管理功能

    用户密码的最小长度为

    限制设置密码的最小长度

    开启密码组合检查

    开启密码的组合检测管理功能

    密码组成元素的类型至少包含

    选择密码组成元素包含的种类个数

    每种类型包含的元素个数至少为

    每种类型密码包含的元素个数

    密码中不能包含连续三个或以上相同的相同字符

    全局开启密码中禁止连续出现三个或三个以上的相同字符

    密码中不能包含用户名或者字符顺序颠倒的用户名

    全局开启密码中禁止出现用户名或颠倒的用户名相关字符

    开启密码历史记录

    开启密码历史记录检测管理功能

    密码历史记录最大条数

    系统记录某用户历史密码的最大条数,达到最大值后,会覆盖最老的一条密码历史记录

    开启密码老化

    开启设备密码老化功能,超过设定的时间后需要用户修改密码

    密码老化时间

    配置密码老化的时间

    密码过期提醒

    密码过期前的提醒时间

    密码过期后允许用户登录的时间

    密码过期后可以在设置的时间内继续登录

    密码过期后允许用户登录的次数

    密码过期后可以继续登录的次数

    密码更新最小间隔时间

    密码更新的最小时间间隔,0表示对密码更新的时间间隔无限制

    密码尝试次数

    设置用户登录设备尝试登录的最大次数

    登录失败处理

    登录次数超过密码尝试次数后,可选择永久禁止登录、暂时禁止登录和允许继续登录

    账号闲置时间

    管理员账号闲置时间,管理员用户创建后,需要成功登录一次设备,账号闲置时间才能生效,在配置的闲置时间内,用户从未成功登录,该用户将被锁定,无法登录

    弱密码时强制修改密码

    开启此功能后,如果当前用户密码符合弱密码的判断条件,会被强制修改密码

  4. 单击<确定>按钮,完成密码管理的配置。

新建管理员角色

  1. 选择“系统 > 管理员 > 管理员角色”。

  2. 在“管理员角色”页面配置相关内容,具体配置内容如下表所示:

    表-5 管理员角色配置

    参数

    说明

    名称

    管理员角色名,不可使用设备中的关键字作为名称

    描述

    配置有关此管理员角色的描述信息

    权限控制项

    此权限控制项,将Web菜单界面,按照层次关系形成多级菜单的树形结构,通过控制菜单项中读写、只读或无的操作,来完成管理员角色权限的定制

  3. 单击<确定>按钮,完成新建管理员角色的配置。