交换机设置密码提示密码简单

1.6  配置全局密码管理

1. 配置限制和指导

系统视图下的全局密码管理参数对所有设备管理类和网络接入类的本地用户生效。

设备管理类用户支持所有的密码管理功能，其中对密码老化时间、密码最小长度、密码复杂度检查策略、密码组合策略以及用户登录尝试失败后的行为的配置，可分别在系统视图、用户组视图、本地用户视图下配置相关参数，其生效优先级从高到低依次为：本地用户视图->用户组视图->系统视图。

网络接入类用户支持的密码管理功能仅包括：配置密码最小长度、配置密码的复杂度检查策略、配置密码的组合策略、配置密码更新的最小时间间隔、配置每个用户密码历史记录的最大条数。其中对密码最小长度、密码复杂度检查策略以及密码组合策略的配置，可分别在系统视图、用户组视图、本地用户视图下配置相关参数，其生效优先级从高到低依次为：本地用户视图->用户组视图->系统视图。

除用户登录尝试失败后的行为配置属于即时生效的配置，会在配置生效后立即影响密码管理黑名单中当前用户的锁定状态以及这些用户后续的登录之外，其它全局密码管理配置生效后仅对后续登录的用户以及后续设置的用户密码有效，不影响当前用户。

2. 配置步骤

(1)     ‍进入系统视图。

system-view

(2)     控制密码设置

¡     配置用户密码的最小长度。

（非FIPS模式）

password-control length length

缺省情况下，用户密码的最小长度与为10个字符。

（FIPS模式）

password-control length length

缺省情况下，用户密码的最小长度为15个字符。

¡     配置用户密码的组合策略。

（非FIPS模式）

password-control composition type-number type-number [ type-length type-length ]

缺省情况下，密码元素的组合类型至少为2种，至少要包含每种元素的个数为1个。

（FIPS模式）

password-control composition type-number type-number [ type-length type-length ]

缺省情况下，密码元素的组合类型至少为4种，至少要包含每种元素的个数为1个。

¡     配置用户密码的复杂度检查策略。

password-control complexity { adjacent-character | same-character | user-name } check

（非FIPS模式下）

缺省情况下，对用户密码进行用户名检查，但不进行连续字符检查和键盘横向连续相邻字符检查。

（FIPS模式下）

缺省情况下，不对用户密码进行复杂度检查。

¡     配置允许密码包含键盘上的最大横向连续相邻字符数。

password-control adjacent-character max-number number

缺省情况下，允许密码包含键盘上的最大横向连续相邻字符数为3。

¡     配置每个用户密码历史记录的最大条数。

password-control history max-record-number

缺省情况下，每个用户密码历史记录的最大条数为4条。

(3)     管理密码更新与老化

¡     配置用户密码更新的最小时间间隔。

password-control update-interval interval

缺省情况下，用户密码更新的最小时间间隔为24小时。

¡     配置用户密码的老化时间。

password-control aging aging-time

缺省情况下，用户密码的老化时间为90天。

¡     配置密码过期前的提醒时间。

password-control alert-before-expire alert-time

缺省情况下，密码过期前的提醒时间为7天。

¡     配置密码过期后允许用户登录的时间和次数。

password-control expired-user-login delay delay times times

缺省情况下，密码过期后的30天内允许用户登录3次。

(4)     控制用户登录

¡     开启全用户线登录用户的黑名单功能。

password-control blacklist all-line

缺省情况下，开启全局密码管理功能后，全用户线登录用户的黑名单功能处于关闭状态，设备仅对通过FTP用户和通过VTY方式访问设备的用户开启黑名单功能。

¡     配置认证失败用户加入到密码管理黑名单中的用户信息仅包括用户名。

password-control blacklist user-info username-only

缺省情况下，认证失败用户加入到密码管理黑名单中的用户信息包括用户名和IP地址。

¡     配置密码管理黑名单中同一用户名可记录的最大表项数

password-control per-user blacklist-limit max-number

密码管理黑名单中同一用户名可记录的最大表项数为32。

¡     配置用户登录尝试次数以及登录尝试失败后的行为。

password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]

缺省情况下，用户登录尝试次数为3次；如果用户登录失败，则1分钟后再允许该用户重新登录。

¡     配置用户账号的闲置时间。

password-control login idle-time idle-time

缺省情况下，用户账号的闲置时间为90天。

用户账号闲置超时后该账号将会失效，用户将无法正常登录设备。若不需要账号闲置时间检查功能，可将idle-time配置为0，表示Password Control对账号闲置时间无限制。

¡     配置用户认证的超时时间。

password-control authentication-timeout timeout

缺省情况下，用户认证的超时时间为600秒。

本功能仅对telnet和终端接入类型的登录用户生效。

¡     关闭首次登录修改密码功能。

undo password-control change-password first-login enable

缺省情况下，用户首次登录设备时修改密码功能处于开启状态。

FIPS模式下，首次登录修改密码功能不允许关闭。

¡     开启弱密码登录修改密码功能。

password-control change-password weak-password enable

（非FIPS模式下）

缺省情况下，弱密码登录修改密码功能处于关闭状态。

（FIPS模式下）

缺省情况下，弱密码登录修改密码功能处于开启状态。

FIPS模式下，本功能缺省开启且不能关闭。