记得那天应该是周末,我碎的正香,手机突然响了,来电是乐观的纸飞机的电话,说是帮忙看一个问题,他在用户机房,一台MSR5680需要新增几个用户账户,发现添加用户账户时提示用户账户信息在更新,再重新更改密码提示无法更改,现象如下图(当时的现象和如下图片类似,我这里只是模拟场景复现了下):
看到乐观的纸飞机发我的截图,觉得应该是设备开启密码控制策略功能了,远程登录上去看了下,果不其然。
金融类或者保密性要求比较高的单位,出于安全性考虑,会定期对网络设备上的管理账户进行更新。保障网络设备安全性毋庸置疑,但是也会带来一些新的问题,如管理、维护的复杂度,增加了运维管理人员的工作量等。
H3C设备上由于开启密码控制策略所带来的问题已经屡见不鲜了,为了避免在遇到此类问题,本篇文章罗列了各种问题现象及原因,以下仅供学习参考,如有错误,欢迎指正。
设备侧开启方法:
password-control enable
参数:
缺省的密码控制策略
密码控制策略参数的解释
现象1:添加用户时提示在更新
解释:开启全局密码管理功能后,添加的用户账户信息就会有如上的提示,这个是正常的。一旦密码控制策略功能被开启,设备自动生成后缀名为“dat”的文件并保存于存储介质中用于记录本地用户的认证、登录信息。请不要手工删除或修改该文件
现象2:密码多次输入错误,导致当时无法登录
解释:开启密码控制策略后,用户首次登陆会提示让修改密码的。如果用户出现过多次登录失败,默认3次,则该用户账户会被锁定,加入到黑名单中,默认锁定时长1min
现象3:密码过期前7天的登录用户的提示
解释:出现该状态,表示用户密码快过期了,默认要求用户密码必须在90天内做更改、提前7天会有日志提示,建议用户修改密码
现象4:密码90天内未更改,提示如下信息
解释:用户密码缺省90天内未进行修改,则可以在允许的时间段内在登录几次,登录时会有日志提示,如上所示,默认是1个月时间内允许3次登录,如果这3次还未修改密码,则密码过期后将无法登录
现象5:密码过期后无法登录,提示如下图
解释:默认90天内未修改密码信息,则无法通过该账户进行登录,可以通过多种方法解决无法登录的问题:
console上去更新用户账户密码信息
将系统时间修改到比较早的时间,如2019/1/1,则可以使用之前的用户账户和密码进行登录
console登录上去关闭掉密码策略控制功能
现象6:更新用户密码提示无法更新
解释:默认两次更新密码的时间间隔是24h,出现如上提示可以通过几种方法解决
修改系统时间后再修改密码
console登录上去关闭密码策略控制功能
注:
全局密码控制策略功能开启后,默认90天内要求更新密码,用户更新密码后该信息会以设备当前时间写入到设备Flash的lauth.dat中,后续的更改密码时间间隔、密码老化时间都是对比写入到文件中的时间的,如果90天内未修改,默认还会允许在30天内登陆3次,即120天内必须修改密码
多次修改账户密码系统会有密码复杂性检测机制,只有符合要求的密码才能设置成功
一码不扫,
可以扫天下?