华三交换机配置了登录失败处理功能，错误次数3次，锁定永久

password-control login-attempt命令用来配置允许用户登录的最大尝试次数以及登录尝试失败后的处理措施。

undo password-control login-attempt命令用来恢复缺省情况

【命令】

password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]

 undo password-control login-attempt

【缺省情况】

全局的用户登录尝试次数限制策略为：用户登录尝试的最大次数为3次。如果某用户登录尝试失败，则1分钟后再允许该用户重新登录；用户组的用户登录尝试次数限制策略为全局配置的用户登录尝试次数限制策略；本地用户的登录尝试次数限制策略为所属用户组的用户登录尝试次数限制策略。

【视图】

系统视图/用户组视图/本地用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

login-times：用户登录尝试的最大次数，取值范围为2～10。

exceed：对登录尝试失败次数超过最大值的用户所采取的处理措施。

lock：表示永久禁止该用户登录。

lock-time time：表示禁止该用户一段时间后，再允许该用户重新登录。其中，time为禁止该用户的时间，取值范围为1～360，单位为分钟。

unlock：表示不禁止该用户，允许其继续登录。

【使用指导】

系统视图下配置具有全局性，对所有用户组有效，用户组视图下的配置对用户组内所有本地用户有效，本地用户视图下的配置只对当前本地用户有效。

该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即，系统优先采用本地用户视图下的配置，若本地用户视图下未配置，则采用用户组视图下的配置，若用户组视图下也未配置，则采用全局视图下的配置。

用户登录认证失败后，系统会将其加入密码管理的黑名单，当登录失败次数超过指定值后，系统将会根据此处配置的处理措施对其之后的登录行为进行相应的限制，并且该用户只能在满足相应的条件后才可重新登录：

·              对于被永久禁止登录的用户，只有管理员使用reset password-control blacklist命令把该用户从密码管理的黑名单中删除后，该用户才能重新登录。

·              对于被禁止一段时间内登录的用户，当配置的禁止时间超时或者管理员使用reset password-control blacklist命令将其从密码管理的黑名单中删除，该用户才可以重新登录。

·              对于不禁止登录的用户，只要用户登录成功后，该用户就会从该黑名单中删除。

本命令生效后，会立即影响密码管理黑名单中当前用户的锁定状态以及这些用户后续的登录。

【举例】

# 管理员设定用户登录尝试次数为4次，并且永久禁止该用户登录。

<Sysname> system-view

[Sysname] password-control login-attempt 4 exceed lock

之后，若有用户连续尝试认证的失败累加次数达到4次，管理员可通过命令查看到被加入密码管理黑名单中的用户锁定状态由之前的unlock切换为lock，且该用户无法再次成功登录。

[Sysname] display password-control blacklist

 Username: test

    IP: 192.168.44.1        Login failures: 4      Lock flag: lock

 Blacklist items matched: 1.

# 管理员设定用户登录尝试次数为2次，并且限制该用户在3分钟后才能重新登录。

<Sysname> system-view

[Sysname] password-control login-attempt 2 exceed lock-time 3

之后，若有用户连续尝试认证的失败累加次数达到2次，管理员可通过命令查看到被加入密码管理黑名单中的用户锁定状态由之前的unlock切换为lock。

[Sysname] display password-control blacklist

 Username: test

    IP: 192.168.44.1        Login failures: 2      Lock flag: lock

 Blacklist items matched: 1.

用户被禁止登录3分钟后，将被从密码管理黑名单中删除，且可以重新登录。