H3C交换机Password-control开局配置指南

lovet

#####【password通用配置标准】########

#
开启全局密码管理功能，是除密码的组合检测管理功能、密码最小长度管理功能以及检查密码中是否包含用户名或者字符顺序颠倒的用户名功能之外，其他密码管理功能生效的前提。若要使得具体的密码管理功能（密码老化、密码历史记录检测）生效，还需开启指定的密码管理功能。
#
password-control enable   //默认未开启。
#
password-control { aging | composition | history | length } enable   //默认全部处于开启状态。
#
默认未开启password-control enable全局密码管理功能下，已处于生效状态的密码管理功能有：
（1）密码的组合检测管理功能:password-control composition，默认至少2种元素组合。
（2）密码最小长度管理功能:password-control length，默认最少10个字符。
（3）检查密码中是否包含用户名或者字符顺序颠倒的用户名功能:password-control complexity { same-character | user-name } check


【控制密码设置类】
# 配置用户密码的最小长度《默认10个字符》
  password-control length length     
# 配置用户密码的组合策略《默认2种组合》
  password-control composition type-number type-number [ type-length type-length ]  
# 对用户密码中是否包含用户名或者在字符顺序颠倒的用户名进行检查 《默认开启》
  password-control complexity { same-character | user-name } check   
# 配置每个用户密码历史记录的最大条数《默认4条》
  password-control history max-record-number


【管理密码更新与老化】
# 配置用户密码更新的最小时间间隔《默认24小时》
password-control update-interval interval
# 配置用户密码的老化时间《默认90天》
password-control aging aging-time
# 配置密码过期前的提醒时间《默认7天》
password-control alert-before-expire alert-time
# 配置密码过期后允许用户登录的时间和次数《默认密码过期后的30天内允许用户登录3次》
password-control expired-user-login delay delay times times


【控制用户登录】
# 开启全用户线登录用户的黑名单功能《默认关闭》
password-control blacklist all-line
# 配置密码管理黑名单中同一用户名可记录的最大表项数《最大32，且默认》
password-control per-user blacklist-limit max-number
# 配置用户登录尝试次数以及登录尝试失败后的行为《默认用户登录尝试次数为3次；如果用户登录失败，则1分钟后再允许该用户重新登录》
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
# 配置用户帐号的闲置时间《默认90天》
password-control login idle-time idle-time
# 配置用户认证的超时时间《默认600秒》
password-control authentication-timeout timeout
# 关闭首次登录修改密码功能《首次登录设备时修改密码功能默认处于开启状态》
undo password-control change-password first-login enable
# 开启弱密码登录修改密码功能《默认关闭》
password-control change-password weak-password enable


【本地用户密码策略管理】---优先级高于全局
# 配置本地用户的密码老化时间
password-control aging aging-time
# 配置本地用户的密码最小长度
password-control length length
# 配置本地用户的密码组合策略
password-control composition type-number type-number [ type-length type-length ]
# 配置本地用户密码的复杂度检查策略
password-control complexity { same-character | user-name } check
# 配置本地用户登录尝试次数以及登录尝试失败后的行为
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]



########【H3C交换机设备password-control通用开局指南】##############

【设备默认情况下】
1. password-control enable处于关闭状态。
2. 虽第一条默认未开启，但此时设备设备以下三种功能默认是生效的。
（1）密码的组合检测管理功能:password-control composition，默认至少2种元素组合。
（2）密码最小长度管理功能:password-control length，默认最少10个字符。
（3）检查密码中是否包含用户名或者字符顺序颠倒的用户名功能:password-control complexity { same-character | user-name } check

【开启password-control情况下】
1. 如因客户要求，必须开启密码管理策略功能，请参照以上了解相关功能的缺省参数。
2. 以下为通用场景下推荐的password-control配置，如客户无特殊要求，可参照以下进行开局：
#
password-control enable
password-control length 8       //密码长度设为8
password-control composition type-number 3 type-length 2         //密码需3种字符类型，每种至少2个字符。
password-control alert-before-expire 30        //密码过期前30天提醒
password-control login-attempt 5 exceed lock-time 10        //登录失败5次后锁定10分钟
password-control update-interval 0         //用户密码最小更新间隔时间为0
password-control aging 180          //密码老化时间为180天
password-control login idle-time 0        //用户闲置时间不限制
password-control expired-user-login delay 60 times 10       //密码过期后允许60天内登录10次。
undo password-control change-password first-login enable         //关闭首次登录要求改密码限制
undo password-control history enable       //关闭历史密码记录功能
#