F1000防火墙vpn用户过期后重置访问不了

删掉，重新配

重新创建用户。

参考

1. 密码老化策略未更新 

   设备默认密码老化时间为90天（password-control aging 90）。若用户密码过期后仅重置但未同步更新老化时间策略，系统仍会判定为过期状态。

   关键命令： 

     display password-control   查看全局密码老化时间

     display local-user         检查相应用户的密码状态

2. 黑名单机制干扰 

   报错信息表明用户曾因登录失败被加入黑名单（如连续输错密码触发password-control login-attempt限制）。虽已移出黑名单，但密码过期状态未解除。

   处理建议： 

     reset password-control blacklist user-name <username>   彻底清除用户黑名单记录

3. 过期后登录权限未放宽 

   默认密码过期后仅允许30天内登录3次（password-control expired-user-login delay 30 times 3）。若用户超出次数或时间，即使重置密码也会被拦截。

   调整策略： 

     password-control expired-user-login delay 60 times 10   扩展至60天10次

 解决步骤

1. 确认密码状态 

   display local-user <username> class network   查看用户密码有效期

   若Password aging显示Expired，需在用户视图下重置老化时间： 

     local-user <username> class network

     password-control aging 90   重置为90天（或根据需求调整）

2. 清除黑名单残留 

   reset password-control blacklist user-name <username>   强制移出黑名单

3. 放宽过期登录限制 

   system-view

   password-control expired-user-login delay 60 times 10   允许60天内登录10次

4. 重启SSL VPN服务 

   sslvpn context <ctx_name>

   undo service enable

   service enable   重新激活服务使配置生效

5. 检查证书状态 

   若设备证书过期（如资料中UTM200案例），需更新证书： 

     pki domain <domain_name>

     certificate update   从CA重新申请或自签证书

 预防措施

定期维护证书：确保证书有效期覆盖业务周期（参考display pki certificate domain）。

优化密码策略： 

  password-control aging enable   开启密码老化提醒

  password-control aging 365      延长老化时间（0表示每次登录需改密码）

监控登录日志：通过display sslvpn online-user实时排查异常会话。

若上述步骤无效，请收集设备日志并联系H3C技术支持（400-810-0504），需进一步排查ACL放行规则、安全域策略及路由配置（参考资料中"SSL VPN故障排查"流程）。

解决方案： 若因账号过期无法登录： 管理员操作 通过其他有效管理员账号登录，执行以下命令重置过期账号：system-view password-control login idle-time 0 # 禁用闲置时间限制（或调整为更长时间） 重新激活账号或重置其登录状态。 无可用管理员账号时 需通过带外管理（如Console口） 或联系技术支持恢复访问权限（参考信息中IMC通过SNMP修改设备时间等特殊方式）。