配置本地用户
背景信息
当采用本地方式进行认证和授权时,需要在设备上配置用户的认证和授权信息,如用户名、密码、级别等。
更改本地帐号的权限(密码、接入类型、FTP目录、级别等)后,已经在线的用户权限不会被更改,新上线的用户则以新的权限为准。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令aaa,进入AAA视图。
- 根据实际情况,选择一种方式创建本地帐号并配置该帐号的登录密码:
执行命令local-user user-name password,创建本地帐号,并配置本地帐号的登录密码。
缺省情况下,系统没有本地用户。
执行命令local-user user-name password { cipher password | irreversible-cipher irreversible-cipher-password },创建本地帐号,并配置本地帐号的登录密码。
缺省情况下,系统没有本地用户。
当创建的本地帐号需要进行802.1x认证时,需要使用cipher password参数配置登录密码。
如果用户名中带域名分隔符(如“@”、“|”、“%”等符号),则认为分隔符前面的部分是用户名,后面部分是域名。如果没有分隔符,则整个字符串为用户名,普通用户默认到default域认证,管理用户默认到default_admin域进行认证。
当用户输入密码时,直接以明文形式输入存在安全风险,建议用户以交互式方式输入。
- (可选)执行命令local-user user-name service-type { none | dot1x | { ftp | http | snmp | ssh | telnet | terminal } * },配置本地用户的接入类型。
缺省情况下,本地用户关闭所有的接入类型。
- (可选)执行命令local-user user-name ftp-directory directory,配置本地用户的FTP目录权限。
缺省情况下,本地用户的FTP目录为空。
若配置本地用户的接入类型为FTP方式,则必须配置本地用户的FTP目录,且本地用户的级别不能低于管理级,否则FTP用户无法登录。
- (可选)执行命令local-user user-name level level,配置本地用户的级别。
缺省情况下,本地用户的级别由管理模块来决定。
- (可选)执行命令local-user user-name state { active | block [ fail-times fail-times-value interval interval-value ] },配置本地用户的状态。
缺省情况下,本地用户的状态为激活态。
对处于激活态和阻塞态用户的处理方式如下:
若用户状态为激活态,将接收该用户的认证请求并做进一步处理。
若用户状态为阻塞态,将拒绝该用户的认证请求。如果配置用户失败次数fail-times-value和间隔时间interval-value参数,则当用户失败登录次数超过设置的失败次数时,将在接下来设置的间隔时间范围内拒绝用户接入认证请求。
- (可选)执行命令local-user user-name access-limit max-number,配置该本地用户同一时间的最大接入连接数。
缺省情况下,不限制用户的连接数目。
- (可选)执行命令local-user authentication lock times failed-times period,配置对本地帐号连续认证失败次数的限制。
缺省情况下,5分钟内认证失败5次,则不允许用户登录。
发生本地帐号锁定后,若需要将帐号解锁,有如下两种方式:
- 在AAA视图下,通过local-user authentication lock duration duration-time命令,配置帐号自动解锁的时间间隔。帐号锁定超过配置的时间后,帐号将自动解锁。
- 在用户视图下,通过activate aaa local-user user-name命令,手动解锁指定的本地帐号。
- (可选)根据实际情况,执行下面命令提升用户的安全性。表1-22 提升用户安全性配置
操作
命令
说明
使能本地用户账户安全策略功能
local-user policy security-enhance
缺省情况下,本地帐号安全策略处于使能状态。
使能本地用户账户安全策略功能后,设备会对用户名和密码进行如下限制:- 用户名要求:本地用户名长度必须大于等于6个字符。
- 密码要求:
- 密码必须大于等于8个字符。
- 密码必须由数字、大写字母、小写字母、特殊字符(不包括?和空格,但是当输入的密码两端使用引号时,可在密码中间输入空格)组成。
- 密码不能和帐号或帐号的反向字符串相同。
- 密码不能与之前10次历史密码相同(与当前密码相同也视为与历史密码相同,即当前密码包含在10次历史密码之内)。
- 密码被重置后,第一次登录时会要求修改密码。
说明:在缺省情况下,执行undo local-user policy security-enhance命令,可以取消以上限制。
使能本地用户的密码复杂度检查功能
local-user policy password complexity-enhance
缺省情况下,本地用户密码复杂度检查功能处于去使能状态。
使能本地用户的密码复杂度检查功能后,设备会对密码进行如下限制:- 密码必须包含数字、大写字母、特殊字符(不包括?和空格,但是当输入的密码两端使用引号时,可在密码中间输入空格)。
- 密码不能与之前10次历史密码相同。
须知:建议不要关闭本地用户的密码复杂度检查功能,防止密码配置过于简单导致设备和业务存在安全隐患。
配置以明文形式输入的本地密码最小长度
local-user policy password min-len min-length
缺省情况下,未配置以明文形式输入的本地密码最小长度。
配置本地管理员下次登录提醒修改原始密码
local-user policy password change
缺省情况下,未配置本地管理员下次登录提醒修改原始密码。
配置本地用户帐号的老化周期
user-aging aging-period或local-user user-name aging aging-period
缺省情况下,本地用户不老化。
如果本地用户帐号长期没有使用,可通过该命令设置帐号老化周期。如果帐号连续不使用的时间到达老化周期,则该帐号自动过期。
user-aging命令为批量执行命令,对系统中所有用户都生效。而local-user aging命令只对指定的用户生效。
对于某个特定用户,当通过user-aging命令设置了所有用户的老化周期时:- 如果没有配置local-user aging命令,则用户的老化周期以user-aging命令的配置为准。
- 如果配置了local-user aging命令,则用户的老化周期以local-user aging命令的配置为准。
配置本地用户帐号的过期时间
local-user user-name expire date
缺省情况下,帐号永不过期。
说明:为避免设备中所有用户都过期,当设备中所有管理用户都设置了过期时间时,最后一个过期的管理用户(即设定的过期时间最晚的用户)是一直生效的。
配置本地用户名的最小长度
user-name minimum-length length
缺省情况下,未配置本地用户名的最小长度。
配置此命令后,新创建的本地用户需遵循这个限制,否则创建失败。
配置本地用户允许登录的时间范围
local-user user-name login-period begin-time to end-time begin-day to end-day
缺省情况下,不限制本地用户允许登录的时间。
配置指定用户的密码过期时间
local-user user-name password expire days
缺省情况下,用户密码永不过期。
配置管理用户登录失败的告警阈值
login-failed threshold-alarm upper-limit report-times lower-limit resume-times period period
缺省情况下,如果管理用户5分钟内的登录失败次数在30次或30次以上,则产生告警;如果管理用户5分钟内的登录失败次数小于20,则取消告警。
配置密码过期时间和过期前一定时间内提醒用户修改密码
local-user policy password expire expire-days prompt prompt-days
缺省情况下,密码无过期时间。
退出AAA视图
quit
-
进入密码安全视图
security password
-
进入规则管理视图
rule admin
-
配置密码的禁用词
forbidden word word
缺省情况下,没有配置密码的禁用词。
配置密码禁用词word后,所有包含word的字符串(不区分大小写)都不能被配置成密码。
本命令仅对本地用户的密码生效,新配置密码或者配置修改密码时不能包含密码禁用词,否则配置失败;已经配置的密码如果包含密码禁用词,在下次使用时系统会提醒密码过于简单、需要修改,但用户不修改也可以继续使用。
- 执行命令commit,提交配置。
- 执行命令return,返回用户视图。
- (可选)执行命令local-user change-password,修改本地用户的登录密码。
为充分保证设备安全,请用户定期修改密码。
