AAA根据用户信息存储位置的不同,可分为远端认证和本地认证:
远端认证:将用户信息(包括用户名、密码和各种属性)配置在远端认证服务器上。支持通过RADIUS(Remote Authentication Dial In User Service)协议或HWTACACS (HUAWEI Terminal Access Controller Access Control System,是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议)协议进行远端认证。
本地认证:将用户信息(包括用户名、密码和各种属性)配置在设备上,设备充当认证服务器。同时,设备为有缺省的管理员用户全局默认域,例如当管理员用户通过Telnet或者SSH等方式登录设备时,如果认证时输入的用户名中未包含域名,则设备默认该管理员用户属于管理员用户全局默认域。
本地认证:
缺省情况下,本地帐号锁定功能处于使能状态,用户的重试时间间隔为5分钟、连续输入错误密码的限制次数为3次,帐号锁定时间为5分钟。
认证失败次数仅针对密码错误,其他本地认证错误不计入计数。本地用户登录失败或者修改第一次配置的密码失败的次数未达到命令local-aaa-user wrong-password配置的次数限制时,用户不会被锁定。此时如果,通过命令local-aaa-user wrong-password修改了次数限制,且修改后的次数小于用户已经登录失败或者修改第一次配置的密码失败的次数时,用户还有一次尝试登录或者修改密码的机会。
使用实例
使能本地帐号锁定功能,配置用户的重试时间间隔为5分钟、连续输入错误密码的限制次数为3次及帐号锁定时间为5分钟。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-aaa-user wrong-password retry-interval 5 retry-time 3 block-time 5
远端认证:
1、管理员用户
缺省情况下,管理员用户远端认证失败后帐号锁定功能处于开启状态:远端认证失败后用户的重试时间间隔为5分钟,连续认证失败的限制次数为30次,帐号锁定时间为5分钟。
执行命令undo administrator remote authen-fail,去使能管理员用户远端认证失败后帐号锁定功能后,原来被锁定的帐号会自动解锁。
远端认证用户连续认证的次数未达到命令administrator remote authen-fail配置的次数限制时,用户不会被锁定。此时如果,通过命令administrator remote authen-fail修改了次数限制,且修改后的次数小于用户已经连续认证失败的次数时,用户还有一次尝试认证的机会。
使用实例
开启管理员用户远端认证失败后帐号锁定功能:远端认证失败后用户的重试时间间隔为5分钟、连续认证失败的限制次数为3次及帐号锁定时间为5分钟。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] administrator remote authen-fail retry-interval 5 retry-time 3 block-time 5
2、接入用户
缺省情况下,接入用户远端认证失败后帐号锁定功能处于关闭状态。
执行命令undo access-user remote authen-fail,关闭接入用户远端认证失败帐号锁定功能后,原来被锁定的帐号会自动解锁。
远端认证的用户连续认证的次数未达到命令access-user remote authen-fail配置的次数限制时,用户不会被锁定。此时,如果通过命令access-user remote authen-fail修改了次数限制,且修改后的次数小于用户已经连续认证失败的次数时,用户还有一次尝试认证的机会。
使用实例
开启接入用户远端认证失败后帐号锁定功能:远端认证失败后用户的重试时间间隔为5分钟、连续认证失败的限制次数为3次、帐号锁定时间为5分钟。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] access-user remote authen-fail retry-interval 5 retry-time 3 block-time 5
解锁账号:
1、解锁认证失败的远端认证帐号适用于以下场景:
a、对于连续输入帐号或密码错误但尚未达到限制次数的用户,可以通过remote-user authen-fail unblock命令解锁该用户,从而清除设备上对应的错误记录。
b、对于已被锁定的帐号,如果该用户为误锁或需要紧急开通,可以通过remote-user authen-fail unblock命令解锁该用户。
使用实例
将认证失败的远端认证帐号“test”解锁。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] remote-user authen-fail unblock username test
2、解锁认证失败的本地认证帐号适:
在重试间隔内达到了失败次数限制,用户被锁定后,可以通过命令local-user user-name state active 或在接入用户视图下使用命令state active解锁用户。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/6669.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~