H3C 路由器MSR36-40

二：配置全局密码管理

1. 配置限制和指导

系统视图下的全局密码管理参数对所有设备管理类和网络接入类的本地用户生效。

设备管理类用户支持所有的密码管理功能，其中对于密码老化时间、密码最小长度、密码复杂度检查策略、密码组合策略以及用户登录尝试失败后的行为的配置，可分别在系统视图、用户组视图、本地用户视图下配置相关参数，其生效优先级从高到低依次为：本地用户视图->用户组视图->系统视图。

网络接入类用户支持的密码管理功能仅包括：配置密码最小长度、配置密码的复杂度检查策略、配置密码的组合策略、配置密码更新的最小时间间隔、配置每个用户密码历史记录的最大条数。其中对密码最小长度、密码复杂度检查策略以及密码组合策略的配置，可分别在系统视图、用户组视图、本地用户视图下配置相关参数，其生效优先级从高到低依次为：本地用户视图->用户组视图->系统视图。

开启全局密码管理功能后，系统会持续记录历史密码。当记录的某用户的历史密码条数达到最大值后，该用户的后续新密码历史记录将覆盖最老的一条密码历史记录。只有关闭全局密码管理功能（undo password-control enable）或手动清除历史密码记录时（reset password-control history-record），历史密码记录才会被清除掉。

用户登录尝试失败后的行为配置属于即时生效的配置，会在配置生效后立即影响密码管理黑名单中当前用户的锁定状态以及这些用户后续的登录。认证失败用户加入密码管理黑名单的策略发生变化时，系统会立即清除密码管理黑名单中的所有用户信息并重新开始记录。其它全局密码管理配置生效后仅对后续登录的用户以及后续设置的用户密码有效，不影响当前用户。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     控制密码设置

¡     配置用户密码的最小长度。

（非FIPS模式）

password-control length length

缺省情况下，用户密码的最小长度为10个字符。

（FIPS模式）

password-control length length

缺省情况下，用户密码的最小长度为15个字符。

¡     配置用户密码的组合策略。

（非FIPS模式）

password-control composition type-number type-number [ type-length type-length ]

缺省情况下，密码元素的最少组合类型为2种，至少要包含每种元素的个数为1。

（FIPS模式）

password-control composition type-number type-number [ type-length type-length ]

缺省情况下，密码元素的组合类型至少为4种，至少要包含每种元素的个数为1个。

¡     配置用户密码的复杂度检查策略。

password-control complexity { same-character | user-name } check

（非FIPS模式下）

缺省情况下，对用户密码中是否包含用户名或倒序的用户名、密码或倒序的密码是否为用户名的一部分进行检查，但对用户密码中是否包含连续三个或以上的相同字符不进行检查。

（FIPS模式下）

缺省情况下，不对用户密码进行复杂度检查。

¡     配置每个用户密码历史记录的最大条数。

password-control history max-record-number

缺省情况下，每个用户密码历史记录的最大条数为4条。

(3)     管理密码更新与老化

¡     配置用户密码更新的最小时间间隔。

password-control update-interval interval

缺省情况下，用户密码更新的最小时间间隔为24小时。

¡     配置用户密码的老化时间。

password-control aging aging-time

缺省情况下，用户密码的老化时间为90天。

¡     配置密码过期前的提醒时间。

password-control alert-before-expire alert-time

缺省情况下，密码过期前的提醒时间为7天。

¡     配置密码过期后允许用户登录的时间和次数。

password-control expired-user-login delay delay times times

缺省情况下，密码过期后的30天内允许用户登录3次。

(4)     控制用户登录

¡     开启全用户线登录用户的黑名单功能。

password-control blacklist all-line

缺省情况下，全用户线登录用户的黑名单功能处于关闭状态，设备仅对通过FTP用户和通过VTY或Web方式访问设备的用户开启黑名单功能。

¡     配置密码管理黑名单中同一用户名可记录的最大表项数。

password-control per-user blacklist-limit max-number

缺省情况下，密码管理黑名单中同一用户名可记录的最大表项数为32。

¡     配置用户登录尝试次数以及登录尝试失败后的行为。

password-control login-attempt login-times [ exceed { lock | lock-time time [ autoincrement max-lock-time ] | unlock } ]

缺省情况下，用户登录尝试次数为3次；如果用户登录失败，则1分钟后再允许该用户重新登录。

¡     配置认证失败用户加入到密码管理黑名单中的用户信息仅包括用户名。

password-control blacklist user-info username-only

缺省情况下，认证失败用户加入到密码管理黑名单中的用户信息包括用户名和IP地址。

¡     配置用户账号的闲置时间。

password-control login idle-time idle-time

缺省情况下，用户账号的闲置时间为90天。

用户账号闲置超时后该账号将会失效，用户将无法正常登录设备。若不需要账号闲置时间检查功能，可将idle-time配置为0，表示Password Control对账号闲置时间无限制。

¡     关闭首次登录修改密码功能。

undo password-control change-password first-login enable

缺省情况下，用户首次登录设备时修改密码功能处于开启状态。

FIPS模式下，首次登录修改密码功能不允许关闭。

¡     开启弱密码登录修改密码功能。

password-control change-password weak-password enable

（非FIPS模式下）

缺省情况下，弱密码登录修改密码功能处于关闭状态。

（FIPS模式下）

缺省情况下，弱密码登录修改密码功能处于开启状态。

FIPS模式下，本功能缺省开启且不能关闭。