1.11.1  Password Control基础配置举例

1. 组网需求

有以下密码管理需求：

·     全局密码管理策略：用户2次登录失败后就永久禁止该用户通过现有的IP地址登录；最小密码长度为16个字符，密码老化时间为30天；允许用户进行密码更新的最小时间间隔为36小时；密码过期后60天内允许登录5次；用户账号的闲置时间为30天；不允许密码中包含用户名或倒序的用户名，不允许密码或倒序的密码为用户名的一部分；不允许密码中包含连续三个或以上相同字符；密码元素的最少组合类型为4种，至少要包含每种元素的个数为4个。

·     切换到用户角色network-operator时使用的super密码管理策略：最小密码长度为24个字符，密码元素的最少组合类型为4种，至少要包含每种元素的个数为5个。

·     本地Telnet用户test的密码管理策略：最小密码长度为24个字符，密码元素的最少组合类型为4种，至少要包含每种元素的个数为5个，密码老化时间为20天。

2. 配置步骤

# 开启全局密码管理功能。

<Sysname> system-view

[Sysname] password-control enable

# 配置用户2次登录失败后就永久禁止该用户通过现有的IP地址登录。

[Sysname] password-control login-attempt 2 exceed lock

# 配置全局的密码老化时间为30天。

[Sysname] password-control aging 30

# 配置全局的密码的最小长度为16。

[Sysname] password-control length 16

# 配置密码更新的最小时间间隔为36小时。

[Sysname] password-control update-interval 36

# 配置用户密码过期后的60天内允许登录5次。

[Sysname] password-control expired-user-login delay 60 times 5

# 配置用户账号的闲置时间为30天。

[Sysname] password-control login idle-time 30

# 开启密码复杂度检查中的用户名检查功能。

[Sysname] password-control complexity user-name check

# 开启密码复杂度检查中的连续字符检查功能。

[Sysname] password-control complexity same-character check

#配置全局的密码元素的最少组合类型为4种，至少要包含每种元素的个数为4个。

[Sysname] password-control composition type-number 4 type-length 4

# 配置super密码的最小长度为24。

[Sysname] password-control super length 24

# 配置super密码元素的最少组合类型为4种，至少要包含每种元素的个数为5个。

[Sysname] password-control super composition type-number 4 type-length 5

# 配置切换到用户角色network-operator时使用的super密码为明文123456789ABGFTweuix@#$%!。

[Sysname] super password role network-operator simple 123456789ABGFTweuix@#$%!

# 添加设备管理类本地用户test。

[Sysname] local-user test class manage

# 配置本地用户的服务类型为Telnet。

[Sysname-luser-manage-test] service-type telnet

# 配置本地用户的最小密码长度为24个字符。

[Sysname-luser-manage-test] password-control length 24

# 配置本地用户的密码元素的最少组合类型为4种，至少要包含每种元素的个数为5个。

[Sysname-luser-manage-test] password-control composition type-number 4 type-length 5

# 配置本地用户的密码老化时间为20天。

[Sysname-luser-manage-test] password-control aging 20

# 以交互式方式配置本地用户密码。

[Sysname-luser-manage-test] password

Password:

Confirm :

Updating user information. Please wait ... ...

[Sysname-luser-manage-test] quit

对登录用户的控制

7.1  登录用户控制简介

通过引用ACL（Access Control List，访问控制列表），可以对访问设备的登录用户进行控制：

·     当未引用ACL、或者引用的ACL不存在、或者引用的ACL为空时，允许所有登录用户访问设备；

·     当引用的ACL非空时，则只有ACL中permit的用户才能访问设备，其他用户不允许访问设备，以免非法用户访问设备。

关于ACL的详细描述和介绍请参见“ACL和QoS配置指导”中的“ACL”。

用户登录后，可以通过AAA功能来对用户使用的命令行进行授权和计费。

7.2  FIPS相关说明

·     设备运行于FIPS模式时，本特性部分配置相对于非FIPS模式有所变化，具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

·     设备运行于FIPS模式时，不支持用户通过Telnet登录和HTTP方式的Web登录。

7.3  配置对Telnet/SSH用户的控制

7.3.1  配置对Telnet用户的控制

(1)     进入系统视图。

system-view

(2)     配置对Telnet用户的访问控制。

（IPv4网络）

telnet server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }

（IPv6网络）

telnet server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }

缺省情况下，未对Telnet用户进行ACL限制。

(3)     （可选）开启匹配ACL deny规则后打印日志信息功能。

telnet server acl-deny-log enable

缺省情况下，匹配ACL deny规则后打印日志信息功能处于关闭状态。

7.3.2  配置对SSH用户的控制

(1)     进入系统视图。

system-view

(2)     配置对SSH用户的访问控制。

（IPv4网络）

ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }

（IPv6网络）

ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }

缺省情况下，未SSH用户进行ACL限制。

(3)     （可选）开启匹配ACL deny规则后打印日志信息功能。

ssh server acl-deny-log enable

关于ssh server acl、ssh server ipv6 acl和ssh server acl-deny-log enable命令的详细介绍请参见“安全命令参考”中的“SSH”。