password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
undo password-control login-attempt
【参数】
login-times:用户登录尝试次数,取值范围为2~10。
exceed:用户登录尝试失败后的行为。
lock:表示永久禁止该用户登录。
lock-time time:表示禁止该用户一段时间后,再允许该用户重新登录。其中,time为禁止该用户的时间,取值范围为1~360,单位为分钟。
unlock:表示不禁止该用户,允许其继续登录。
【描述】
password-control login-attempt命令用来配置用户登录尝试次数以及登录尝试失败后的行为。
undo password-control命令用来恢复缺省情况。
缺省情况下,用户登录尝试次数为3次;如果用户登录失败,则1分钟后再允许该用户重新登录。
需要注意的是:
对于被永久禁止登录的用户,只有管理员把该用户从黑名单中删除后,该用户才能重新登录。
对于被禁止一段时间内登录的用户,当配置的禁止时间超时或者管理员将其从黑名单中删除,该用户才可以重新登录。
对于不禁止登录的用户,只要用户登录成功或者黑名单的老化时间(系统规定为1分钟)超时后,该用户就会从黑名单中被删除。
相关配置可参考命令 display password-control、display password-control blacklist和reset password-control blacklist。
【举例】
# 管理员设定用户登录尝试次数为4次,并且永久禁止该用户登录。
system-view
[Sysname] password-control enable
[Sysname] password-control login-attempt 4 exceed lock
若有用户连续尝试认证的失败累加次数达到4次,管理员可通过命令查看到被加入黑名单中的用户锁定状态由之前的unlock切换为lock,且该用户无法再次成功登录。
[Sysname] display password-control blacklist
Username: test
IP: 192.168.44.1 Login failed times: 4 Lock flag: lock
Total 1 blacklist item(s) matched.
管理员设定用户登录尝试次数为2次,并且禁止该用户3分钟后,再允许该用户重新登录。
system-view
[Sysname] password-control enable
[Sysname] password-control login-attempt 2 exceed lock-time 3
若有用户连续尝试认证的失败累加次数达到2次,管理员可通过命令查看到被加入黑名单中的用户锁定状态由之前的unlock切换为lock。
[Sysname] display password-control blacklist
Username: test
IP: 192.168.44.1 Login failed times: 2 Lock flag: lock
Total 1 blacklist item(s) matched.
用户被禁止登录3分钟后,将被从黑名单中删除,且可以重新登录。
configure-user count 5 设置允许同时配置路由器的用户数