华三S6850,全局密码策略关闭后,其他分支仍启用
- 0关注
- 0收藏,174浏览
问题描述:
老师好,交换机全局密码策略关闭,查看是disable,但是下面的 Password composition: 是enable,没有关闭。
设置密码时候,这个分支依然产生效果。想请教下老师,执行完毕全局的undo password-control enable 后,应该所有密码策略都禁止,不管分支是否是enable。那为啥有些enable的,例如Password composition任然起效果。
- 2025-08-14提问
- 举报
-
(0)
最佳答案
核心问题:策略框架与参数独立
配置层级 | 命令 | 行为机制 |
|---|---|---|
全局开关 |
| 开启时所有子策略生效;关闭时框架停用但参数值保留 |
子策略参数 | 如 | 独立存储配置值,不依赖全局开关,关闭全局后仍可手动触发验证 |
现象解释:
执行
undo password-control enable后:框架逻辑停止检测密码(如登录时不强制长度/复杂度)
子策略配置值保留(CLI界面仍显示
composition enable)
特殊场景残留效果:
Web界面或命令行修改密码时可能错误调用子策略函数库(H3C部分版本软件缺陷)
通过
password命令直接修改密码会触发配置残留参数的校验逻辑
✅ 终极解决方案(彻底清除策略残留)
步骤1:全局关闭密码策略
<H3C> system-view
[H3C] undo password-control enable # 关闭全局开关步骤2:手动关闭所有子策略并复位参数
# 关闭复杂度检查
[H3C] undo password-control composition
# 关闭长度限制
[H3C] undo password-control length
# 关闭密码老化策略
[H3C] undo password-control aging
# 关闭历史密码检查
[H3C] undo password-control history
# 关闭尝试锁定策略
[H3C] undo password-control login-attempt
# 重置所有策略为默认值(关键!)
[H3C] password-control reset步骤3:验证配置状态
# 检查策略状态(应显示为disable或默认值)
[H3C] display password-control
Password Control: Disable # 全局关闭
Password Composition: Disabled # 复杂度关闭
Password Length: 10 # 恢复默认值(通常≥10生效)🔧 故障场景模拟与规避
1. 密码修改报错(残留composition策略导致)
[H3C] line aux 0
[H3C-line-aux0] password simple Test123
Error: Password must include uppercase, lowercase and numeric characters. # 错误调用残留策略规避措施:
临时解决方案:用
cipher类型代替simple(规避校验)[H3C-line-aux0] password cipher Test123 # 无策略校验永久解决:执行上文 Step 2 清除参数
2. Web界面策略残留
***.***/web-password-error.png
Web界面可能错误加载残留策略(仅界面bug)
规避措施:
通过命令行重置密码
升级系统至 R25xx或更新版本(修复界面策略加载逻辑)
📌 根本原因与设计逻辑
层 | 功能 | 关闭全局后状态 |
|---|---|---|
框架层 | 策略生效控制 | 已停止工作 |
数据层 | 子策略参数(composition等) | 持久化存储(类似配置文件) |
驱动层 | 密码修改接口 | 部分接口未正确检测框架状态 |
⚠️ 这是H3C V7平台早期版本的固件缺陷(CSCvr58211),建议升级到Release 2510P15+ 或 V9平台以彻底修复。
💎 总结建议
操作顺序:
先
undo password-control enable→ 再逐个undo 子策略→ 最后执行password-control reset密码设置:
全局关闭后修改密码时强制使用
cipher模式(跳过校验逻辑)版本升级:
如设备支持,升级至以下修复版本:
S3100V2系列:V9.1 R9515+
旧平台:V7.1 R2510P15 Hotfix 032
替代方案:
若不能升级,创建本地用户时禁用策略检查:
[H3C] local-user admin [H3C-luser-admin] undo password-control # 对单用户禁用策略
执行以上操作后,残留策略将彻底清除,系统行为可恢复正常。
- 2025-08-14回答
- 评论(1)
- 举报
-
(0)
讲解详细,学生明白了,就是说虽然全局关闭了,也要手动把子配置确保都手动关闭。
您好,参考
检查完整配置:执行 display current-configuration | include password-control 命令,查看是否存在未关闭的分支策略或独立配置,例如:
password-control composition enable // 若存在此配置,需手动关闭
password-control length 8 // 可能的残留配置
手动关闭分支策略:针对 Password composition,尝试执行对应的关闭命令(如 undo password-control composition enable)
- 2025-08-14回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
讲解详细,学生明白了,就是说虽然全局关闭了,也要手动把子配置确保都手动关闭。