H3C S5008PV5-EI
- 0关注
- 0收藏,59浏览
问题描述:
用户帐户空闲时间90天,在超出90天后登录交换机会提示报错Failed to login because the idle timer expired. Login failed.,重启后恢复,有办法永久关闭账户空闲时间吗
Global password control configurations:
Password control: Enabled (device management users)
Disabled (network access users)
Password aging: Enabled (90 days)
Password length: Enabled (10 characters)
Password composition: Enabled (2 types, 1 characters per type)
Password history: Enabled (max history records:4)
Early notice on password expiration: 7 days
User authentication timeout: 600 seconds
Maximum login attempts: 3
Action for exceeding login attempts: Lock user for 1 minutes
Minimum interval between two updates:24 hours
User account idle time: 90 days
Logins with aged password: 3 times in 30 days
Password complexity: Enabled (username checking)
Disabled (repeated characters checking)
Password change: Enabled (first login)
Disabled (mandatory weak password change)
根据您的配置,用户账户空闲时间(User account idle time)设置为90天,超过这个时间账户会被锁定。以下是永久关闭账户空闲时间的方法:
方法1:完全禁用密码控制功能(推荐)
# 进入系统视图
system-view
# 完全关闭密码控制功能
undo password-control enable
# 保存配置
save
方法2:仅禁用账户空闲时间功能
system-view
# 禁用用户账户空闲时间限制
undo password-control idle-time
# 保存配置
save
方法3:修改账户空闲时间为不限制
system-view
# 将账户空闲时间设置为0天(无限期)
password-control idle-time 0
# 保存配置
save
方法4:针对特定用户单独设置(如果只需要修改特定账户)
system-view
# 进入要修改的用户视图
local-user admin
# 设置该用户永不过期
idle-time 0
# 返回
quit
# 保存配置
save
验证配置
# 查看密码控制配置
display password-control
# 查看特定用户配置
display local-user username admin
解决已被锁定账户的方法
如果账户已经被锁定,需要使用以下方法解锁:
方法A:通过控制台重置(需要物理访问)
通过Console线连接设备
重启进入BootROM
选择跳过当前配置启动
删除相关配置后再重新配置
方法B:通过其他管理员账户解锁
# 使用其他管理员账户登录
system-view
# 解锁被锁定的用户
local-user admin
undo state
# 或者重置该用户的密码
password simple 新密码
quit
方法C:通过RADIUS/TACACS服务器(如果使用外部认证)
在认证服务器上重置账户状态
或者设置更长的空闲时间
永久解决方案建议
1. 完全禁用密码控制(最简单)
system-view
undo password-control enable
save
2. 保留其他安全功能,仅关闭空闲时间
system-view
# 保留密码复杂度、长度等要求
password-control length 10
password-control composition type-number 2 type-length 1
password-control history max-record 4
# 仅关闭空闲时间
undo password-control idle-time
# 或者设置为更长的时间(如3650天≈10年)
password-control idle-time 3650
save
3. 创建计划任务自动重置空闲时间(自动维持)
system-view
# 创建计划任务
job reset-idle-time
user-role network-admin
command 1 "local-user admin idle-time 0"
# 创建调度计划
schedule job reset-idle-time
time repeating at 00:00
配置注意事项
安全风险:禁用账户空闲时间会增加安全风险
合规要求:检查是否有合规性要求必须设置账户锁定
备份方案:建议创建多个管理员账户以防一个账户被锁定
日志监控:加强账户登录的日志监控
推荐配置方案
# 推荐:保留密码安全策略,仅延长空闲时间
system-view
# 保持密码强度要求
password-control enable
password-control length 10
password-control composition type-number 2 type-length 1
password-control aging 90
password-control history max-record 4
# 延长账户空闲时间到1年
password-control idle-time 365
# 保存配置
save
验证命令
配置完成后,使用以下命令验证:
# 查看全局配置
display password-control
# 查看用户状态
display local-user
# 测试登录
telnet 交换机IP
预防措施
定期登录:即使设置不限制,也建议定期登录维护
多账户管理:创建多个管理员账户
配置备份:定期备份配置文件
监控告警:配置账户相关的告警
总结
最简单的解决方案是:
system-view
undo password-control idle-time
save
这样既保留了其他密码安全策略,又解决了账户90天不登录被锁定的问题。建议在维护时间窗口内操作,并确保有备用的登录方式。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论