F5040

用户登录控制

1. 用户首次登录控制

当全局密码管理功能开启后，用户首次登录设备时，缺省情况下，系统会输出相应的提示信息要求用户修改密码，否则不允许登录设备。这种情况下的修改密码不受密码更新时间间隔的限制。如果不希望用户首次登录设备时必须修改密码，可以关闭首次登录修改密码功能。

2. 黑名单功能

通过记录认证失败用户和维护黑名单中表项的锁定状态，设备可限制异常用户登录。

FTP用户和通过VTY或Web方式访问设备的用户在认证失败后，其IP地址和用户名会被加入密码管理的黑名单；通过AUX用户线登录的用户在认证失败后，其用户名会被加入密码管理的黑名单。

不同IP地址的用户采用同一个用户名登录时，若登录设备失败，则设备会针对每个IP地址记录黑名单表项。配置密码管理黑名单中同一用户名可记录的最大表项数后，当设备记录的该用户加入密码管理黑名单的表项数超过配置的最大值之后，若该用户采用新的IP地址再次登录认证失败，则该用户名相关的最早一条黑名单记录表项会被删除，新的记录被加入黑名单列表。

3. 密码尝试次数限制

密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。

当用户连续尝试认证的失败累加次数达到设置的尝试次数时，系统对用户的后续登录行为有以下三种处理措施：

·     对于FTP用户和通过VTY或Web方式访问设备的用户，永久禁止该用户通过登录失败IP地址登录；对于通过AUX用户线访问设备的用户，永久禁止该用户通过AUX用户线登录。只有管理员把该用户从密码管理的黑名单中删除后，该用户才能重新登录。

·     不对该用户做禁止，允许其继续登录。在该用户登录成功后，该用户会从密码管理的黑名单中删除。

·     禁止登录一段时间后，再允许其重新登录。当配置的禁止时间超时或者管理员将其从密码管理的黑名单中删除，该用户才可以重新登录。

或者关闭公网登陆d功能