h3600-28p-ei

password-control login-attempt命令用来配置允许用户登录的最大尝试次数以及登录尝试失败后的处理措施。

undo password-control login-attempt命令用来恢复缺省情况。

【命令】

password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]

 undo password-control login-attempt

【缺省情况】

全局的用户登录尝试次数限制策略为：用户登录尝试的最大次数为3次。如果某用户登录尝试失败，则1分钟后再允许该用户重新登录；用户组的用户登录尝试次数限制策略为全局配置的用户登录尝试次数限制策略；本地用户的登录尝试次数限制策略为所属用户组的用户登录尝试次数限制策略。

【视图】

系统视图

用户组视图

本地用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

login-times：用户登录尝试的最大次数，取值范围为2～10。

exceed：对登录尝试失败次数超过最大值的用户所采取的处理措施。

lock：对于FTP用户和通过VTY或Web方式访问设备的用户，表示永久禁止该用户通过登录失败IP地址登录；对于通过Console、AUX、TTY以及USB用户线访问设备的用户，表示永久禁止该用户通过Console、AUX、TTY以及USB用户线登录。

lock-time time：对于FTP用户和通过VTY或Web方式访问设备的用户，表示禁止该用户通过登录失败IP地址登录，经过一段时间后，再允许该用户重新登录；对于通过Console、AUX、TTY以及USB用户线的用户，表示禁止该用户通过Console、AUX、TTY以及USB用户线登录，经过一段时间后，再允许该用户重新登录。其中，time为禁止该用户的时间，取值范围为1～360，单位为分钟。

unlock：对于FTP用户和通过VTY或Web方式访问设备的用户，表示不禁止该用户，允许其继续通过现有IP地址登录；对于通过Console、AUX、TTY以及USB用户线的用户，表示不禁止该用户，允许其继续通过Console、AUX、TTY以及USB用户线登录。

【使用指导】

系统视图下配置具有全局性，对所有用户组有效，用户组视图下的配置对用户组内所有本地用户有效，本地用户视图下的配置只对当前本地用户有效。

该配置的生效优先级顺序由高到低依次为本地用户视图、用户组视图、全局视图。即，系统优先采用本地用户视图下的配置，若本地用户视图下未配置，则采用用户组视图下的配置，若用户组视图下也未配置，则采用全局视图下的配置。

FTP用户和通过VTY或Web方式访问设备的用户登录认证失败后，系统会将其用户名和IP地址加入密码管理的黑名单；通过Console、AUX、TTY以及USB用户线访问设备的用户登录认证失败后，系统会将其用户名加入密码管理的黑名单。当登录失败次数超过指定值后，系统将会根据此处配置的处理措施对其之后的登录行为进行相应的限制，并且该用户只能在满足相应的条件后才可重新登录：

·              对于被永久禁止登录的用户，只有管理员使用reset password-control blacklist命令把该用户从密码管理的黑名单中删除后，该用户才能重新登录。

·              对于被禁止一段时间内登录的用户，当配置的禁止时间超时或者管理员使用reset password-control blacklist命令将其从密码管理的黑名单中删除，该用户才可以重新登录。

·              对于不禁止登录的用户，只要用户登录成功后，该用户就会从该黑名单中删除。

本命令生效后，会立即影响密码管理黑名单中当前用户的锁定状态以及这些用户后续的登录。

【举例】

# 管理员设定用户登录尝试次数为4次，并且永久禁止该用户通过现有IP地址登录。

<Sysname> system-view

[Sysname] password-control login-attempt 4 exceed lock

之后，若有用户连续尝试认证的失败累加次数达到4次，管理员可通过命令查看到被加入密码管理黑名单中的用户锁定状态由之前的unlock切换为lock，且该用户无法再次通过现有IP地址成功登录。

[Sysname] display password-control blacklist

 Per-user blacklist limit: 100.

 Blacklist items matched: 1.

 Username                     IP address           Login failures   Lock flag

 test                         192.168.44.1         4                lock

# 管理员设定用户登录尝试次数为2次，并且限制该用户在3分钟后才能重新登录。

<Sysname> system-view

[Sysname] password-control login-attempt 2 exceed lock-time 3

之后，若有用户连续尝试认证的失败累加次数达到2次，管理员可通过命令查看到被加入密码管理黑名单中的用户锁定状态由之前的unlock切换为lock。

[Sysname] display password-control blacklist

 Per-user blacklist limit: 100.

 Blacklist items matched: 1.

 Username                     IP address           Login failures   Lock flag

 test                         192.168.44.1         2                lock

若用户被禁止通过现有的IP地址登录，经过3分钟后，将被从密码管理黑名单中删除，且可以重新登录。

【相关命令】

·              display local-user（安全命令参考/AAA）

·              display password-control

·              display password-control blacklist

·              display user-group（安全命令参考/AAA）

·              password-control backlist all-line

·              reset password-control blacklist