配置本地用户

操作步骤

1. 执行命令system-view，进入系统视图。
2. 执行命令aaa，进入AAA视图。
3. 创建本地用户。

   步骤	命令	说明
   （可选）使能对密码进行复杂度检查功能	user-password complexity-check [ three-of-kinds ]	缺省情况下，设备对密码进行复杂度检查。用户设置的密码至少包含“大写字母、小写字母、数字和特殊字符”中的两种，才能通过密码复杂度检查。
   创建本地用户名和密码(选择一种方式创建本地用户名和密码)	local-user user-name password	缺省情况下，本地账号的登录密码为空。 本命令为交互式命令，当用户输入密码时，直接以明文形式输入存在安全风险，建议用户以交互式方式输入。 如果用户名中带域名分隔符（如“@”、“|”、“%”等符号），并且没有执行命令domainname-parse-direction right-to-left设置域名解析方向，则认为分隔符前面的部分是纯用户名，后面部分是域名。如果没有分隔符，则整个字符串为用户名，普通用户默认到default域认证，管理用户默认到default_admin域进行认证。
   	local-user user-name password { cipher | irreversible-cipher } password
   配置本地用户的允许接入类型	local-user user-name service-type { 8021x | api | ftp | http | ppp | ssh | telnet | terminal | web | x25-pad } *	缺省情况下，本地用户关闭所有的接入类型。 如果为Portal接入用户，则配置的接入类型为web。 配置本地用户的接入类型前，如果用户已经存在，需注意： 如果密码使用的是不可逆加密算法，则只允许配置管理类的接入类型。 如果密码使用的是可逆加密算法，则允许配置普通类或者管理类的接入类型，不允许配置普通类与管理类的混合类接入类型，并且当配置为管理类的接入类型时，加密算法自动转换成不可逆加密算法。

4. （可选）配置用户级别、所属用户组、接入时间段、闲置切断功能及可建立的连接数目。

   步骤	命令	说明
   配置本地用户级别	local-user user-name privilege level level	缺省情况下，本地用户的级别为0级。
   配置本地用户所属的组	local-user user-name user-group group-name	缺省情况下，本地用户不属于任何用户组。 说明： 仅NAC传统模式支持该命令。
   配置本地账号的接入时间段	local-user user-name time-range time-name	缺省情况下，未配置本地账号的接入时间段，即任意时间都允许接入。
   配置指定用户的闲置切断时间	local-user user-name idle-timeout minutes [ seconds ]	指定用户界面的超时时间。本地用户闲置时间超过设定时间，则用户自动下线。 设置用户连接的超时时间为0或者过长会导致终端一直处于登录状态，存在安全风险，建议用户执行命令lock锁定当前连接。
   配置指定用户可建立的连接数目	local-user user-name access-limit max-number	缺省情况下，不限制用户可建立的连接数目。 如果需要设置本地账号只能在唯一终端登录，可通过设置max-number的值为1实现该功能。

5. （可选）配置本地用户安全性。

   步骤		命令	说明
   使能本地帐号锁定功能并配置用户的重试时间间隔、连续认证失败的限制次数及帐号锁定时间		local-aaa-user wrong-password retry-interval retry-interval retry-time retry-time block-time block-time	缺省情况下，本地帐号锁定功能处于使能状态，用户的重试时间间隔为5分钟、连续输入错误密码的限制次数为3次，帐号锁定时间为5分钟。
   配置在用户账号锁定期间，允许该用户使用指定的IP地址访问网络		aaa-quiet administrator except-list { ipv4-address | ipv6-address } &<1-32>	缺省情况下，用户在账号锁定期间不能访问网络。 通过命令display aaa-quiet administrator except-list，可以查询以上配置的IP地址信息。
   配置本地接入用户密码策略	使能本地接入用户的密码策略功能并进入本地接入用户密码策略视图。	local-aaa-user password policy access-user	缺省情况下，本地接入用户的密码策略功能处于未使能状态。
   	配置每个用户密码的历史记录的最大条数。	password history record number number	缺省情况下，每个用户密码的历史记录的最大条数是5条。
   	退出本地接入用户密码策略视图。	quit	-
   配置本地管理员密码策略	使能本地管理员的密码策略功能并进入本地管理员密码策略视图。	local-aaa-user password policy administrator	缺省情况下，本地管理员的密码策略功能处于未使能状态。
   	使能密码过期提醒功能并配置密码过期前的提醒时间。	password alert before-expire day	缺省情况下，密码过期前的提醒时间为30天。
   	使能初始密码提醒功能。	password alert original	缺省情况下，初始密码修改提醒功能处于使能状态。
   	使能密码过期功能并配置密码过期时间。	password expire day	缺省情况下，密码过期时间为90天。
   	配置每个用户密码的历史记录的最大条数。	password history record number number	缺省情况下，每个用户密码的历史记录的最大条数是5条。
   	退出本地管理员密码策略视图。	quit	-

   设备空配置启动时，会自动进行如下配置并写入配置文件：

   • 执行local-aaa-user password policy administrator命令使能本地管理员的密码策略功能。
   • 执行password expire 0命令配置本地管理员的密码不过期。
   • 执行password history record number 0命令配置设备不检查修改后的本地管理员的密码与历史记录是否相同。

6. （可选）本地用户访问权限相关配置。

   步骤	命令	说明
   配置允许用户接入网络的终端类型	local-user user-name device-type device-type &<1-8>	缺省情况下，未配置允许用户接入网络的设备类型。 如终端为iphone，可执行该命令设置device-type的值为“iphone”。 说明： 仅S5720-HI、S5730-HI、S6720-HI、S5731-H-K、S5731-H、S5731S-H、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H支持该功能。
   配置允许FTP用户访问的FTP目录	local-user user-name ftp-directory directory	缺省情况下，允许FTP用户访问的FTP目录为空。 若配置本地用户的接入类型为FTP方式，则必须配置本地用户的FTP目录，且本地用户的级别不能低于管理级，否则FTP用户无法登录。
   配置允许HTTP用户访问的HTTP目录	local-user user-name http-directory directory	缺省情况下，允许HTTP用户访问的HTTP目录为空。
   配置本地用户的状态	local-user user-name state { active | block }	缺省情况下，本地用户的状态为激活态。 设备对处于激活态和阻塞态用户的处理方式如下： 若用户状态为激活态，将接收该用户的认证请求并做进一步处理。 若用户状态为阻塞态，将拒绝该用户的认证请求。
   配置本地账号的有效期	local-user user-name expire-date expire-date	缺省情况下，本地账号永久有效。
   指定本地用户为网管用户	local-user user-name user-type netmanager	如果当前VTY用户达到最大用户数时，网管用户可以通过网管预留编号VTY 16~VTY 20来登录。 该用户必须通过AAA本地认证。

7. 执行命令undo local-aaa-user change-password verify，在本地管理员用户修改自己的密码时，去使能校验老密码的功能。

   缺省情况下，本地管理员用户在AAA视图下通过命令local-user user-name privilege level level修改自己的密码时，需要输入老密码进行校验。

8. （可选）修改本地用户登录密码。

   步骤	命令	说明
   返回用户视图	return	-
   修改本地用户登录密码	local-user change-password	-