设备:S6850
软件:HCL
一、配置口令复杂度及口令定期更换策略,配置登录失败次数及登录连接超时时间
参考:https://zhiliao.h3c.com/questions/dispcont/100187
system-view //进入系统视图
password-control length 8 // 配置密码长度最小为16位
password-control composition type-number 3 type-length 1
//密码最少3种字符组合类型长度1
password-control enable //开启密码策略
password-control aging enable //开启密码有效期的策略
password-control aging 90 //配置密码有效的时间为90天
password-control login-attempt 10 exceed lock-time 10
//配置密码可尝试的失败次数为10次,10次失败以后被锁定10分钟后方可继续尝试
二、对登录的用户分配账户和权限
参考:https://www.cnblogs.com/wushuai2018/p/13963027.html
https://blog.csdn.net/wenhe0119/article/details/128322483
########################################################################################
H3C的三权账号分别是管理账号、审计账号、安全管理账号
权限说明:
security-audit 安全日志管理员(系统中的最后一个安全日志管理员角色的本地用户不可被删除,重新创建一个登陆账号解决问题;
network-admin 具有最高权限,可操作系统所有功能和资源(除安全日志文件管理相关命令外);
network-operator 可执行系统所有功能和资源的相关display命令 (除安全日志等查看命令外);
level-0 可执行命令ping、tracert、ssh2、telnet和super,且管理员可以为其配置权限;
level-1 具有leve-0用户角色的权限,并且可执行系统所有功能和资源的相关display命令(除display history-command all之外),以及管理员可以为其配置权限;
level-2~8 无缺省权限,需要管理员为其配置权限;
level-10~14 无缺省权限,需要管理员为其配置权限;
level-9 可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能操display history-command all命令、RBAC的命令(Debug命今除外)、文件管理以及本地用户特性。对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码;
level-15 具有与network-admin角色相同的权限。
#######################################################################################################
现在在console口创建2个用户,用户admin,配置network-admin角色。用户audit,配置角色。采取AAA认证。
system-view
line console 0
authentication-mode scheme //配置认证方式为AAA
quit
local-user admin class manage //创建本地用户admin,缺省为manage类
service-type terminal //本地用户缺省是无服务类型的,需要定义为terminal
password simple test@123 //设置密码
authorization-attribute user-role network-admin
//本地用户角色缺省为network-operator,需要修改为network-admin
undo authorization-attribute user-role network-operator
//删除本地用户缺省角色
local-user audit class manage
password simple test@123
service-type terminal
authorization-attribute user-role level-9
authorization-attribute user-role network-operator
三、验证
第一次登录需要改密码: