H3C 5560X-30C-E1 SSH远程管理密码错误。
- 0关注
- 0收藏,65浏览
1. 先通过Console本地登录设备,执行命令display password-control查看是否开启了全局密码管控功能,再执行display password-control user 你的SSH用户名,大概率是当前用户密码被标记为「首次登录强制修改的临时初始密码」:你第二次登录时系统后台自动生成随机密码覆盖了你手动配置的密码,导致你退出后用自定义密码登录报错。
2. 按需选择方案修复:
不需要密码管控的场景,直接关闭该功能后重配用户:
shell
[H3C] undo password-control enable
[H3C] local-user admin class manage
[H3C-luser-manage-admin] password simple 你自定义的SSH密码
[H3C-luser-manage-admin] service-type ssh
[H3C-luser-manage-admin] authorization-attribute user-role network-admin
[H3C-luser-manage-admin] quit
[H3C] line vty 0 15
[H3C-line-vty0-15] authentication-mode scheme
[H3C-line-vty0-15] protocol inbound ssh
[H3C-line-vty0-15] quit
[H3C] save force
需要保留密码管控的场景,关闭对应用户的首次登录强制改密码限制即可:
shell
[H3C] password-control user 你的SSH用户名 first-login change-password disable
配置完成后强制保存,后续SSH登录就不会出现密码异常问题。
升级一下版本,看是否可以解决,
首页支持文档与软件软件下载交换机H3C S5560系列以太网交换机H3C S5560X-EI系列交换机
打开你的电脑,在浏览器输入知了社区,找到这个帖子,要么在别人下面评论,要么点我的头像。
暂无评论
根据你描述的现象(修改密码后第二次登录正常,退出后再登录就提示密码错误),这很可能是本地用户账户被锁定了。这是一种常见的密码安全保护机制在起作用,而不是配置出错。
简单来说,用户账户可能因为闲置时间过长或短时间内多次尝试失败,被系统暂时“封禁”了。当你能登录之后,系统可能在某个环节没有正确重置这个状态。
核心原因分析
导致这种情况最可能的原因是:开启了全局密码控制功能(password-control enable),然后触发了账户锁定。具体有两种可能:
账户闲置超时(最有可能)
如果你两次成功登录之间的间隔时间过长(或者系统时间发生过跳变),超过了password-control login idle-time命令设置的闲置时间(默认90天)。一旦超过这个期限,账户会被系统立即置为失效,下次登录时即使密码正确也会提示失败。尝试失败被锁定
在开启密码控制功能后,如果短时间内连续多次输错密码,系统会将用户列入“黑名单”。当你用正确的密码成功登录一次后,有时黑名单状态并未被完全、立即清除。
解决方案
现在你需要解决的是“如何登录”和“如何根治”两个问题。
第一步:如何立刻恢复登录
根据你是否有其他方式管理设备,选择以下一种方法:
方法一:如果能通过Console口直接登录
这是最直接的方法。通过Console线登录设备后,你可以:将发生问题的用户(例如
admin)从黑名单中强制删除:<H3C> reset password-control blacklist user-name adminbash如果上一步无效,可以直接重新创建该用户,删除再新建就能重置所有状态。
方法二:如果无Console口,但有SNMP权限
如果你开启了SNMP并有写入权限,可以通过网管软件修改设备的系统时间。将时间调整到你上次成功登录之前,使闲置超时条件不再满足,从而临时绕过锁定,恢复登录。方法三:如果以上条件都不满足
作为最后手段,并且只有在业务允许的情况下,可以尝试重启设备。设备重启后,系统时间会重置(通常是2000年),这可能会暂时绕过闲置时间的检查,让你有机会登进去修改配置。
第二步:如何根治问题
登录成功后,根据你的实际需求调整密码控制策略,防止问题重现:
如果不需要账户闲置检查(推荐配置)
进入系统视图,将闲置时间设置为0,彻底禁用该功能:<H3C> system-view [H3C] password-control login idle-time 0bash如果需要,可以延长闲置时间
例如,将闲置检查时间改为365天:[H3C] password-control login idle-time 365bash检查黑名单功能
如果你担心误操作导致锁定,可以检查或调整密码尝试次数:# 查看当前配置 display password-control # 设置最大尝试次数为5次,超过后锁定3分钟 password-control login-attempt 5 exceed lock-time 3bash
参考配置
暂无评论
这种情况通常不是您改的密码不对,而是设备的全局密码策略(Password Control)在背后“把关”,导致密码修改并未真正生效。
核心原因:密码策略限制
在Comware V7系统(您的交换机使用的系统)中,一旦开启了全局密码策略(password-control enable),它对密码的复杂度、长度和更新频率有严格要求。
您遇到的现象,大概率是因为在修改密码时,新密码不满足当前的全局密码策略。虽然系统可能会在local-user视图下提示修改成功,但底层策略会让这次修改不生效,因此登录时仍需要旧密。登录验证时,系统会再次检查密码是否符合策略,如果不符就会直接拒绝。
四步排查与解决流程
我们按照可能性从高到低,一步步来排查和解决:
1. 确认密码策略状态(最关键的一步)
通过Console口登录交换机,运行 display password-control 命令,重点关注以下几点:
password-control enable:确认此功能是否为开启状态。Password length:密码最小长度要求(通常至少8位)。Password complexity:密码复杂度检查,如是否要求包含大写、小写、数字、特殊字符等组合。
2. 排查其他干扰项
同时,也需快速排查以下可能:
账户锁定:如果重试次数过多,账户可能被临时锁定。可通过Console口查看是否有相关提示。
服务类型缺失:在
local-user视图下执行display this,确认service-type中是否包含了ssh。
3. 登录后的配置是否正确
请再次核对设备上local-user、VTY和SSH相关的配置,确保完全合规。
4. 最后的“金标准”:重置密码
如果排查后仍无法SSH登录,可以考虑通过Console口,遵循策略重置密码,这是最稳妥有效的方式:
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论