为了保障系统的安全,堡垒机提供用户登录、用户锁定和用户状态配置功能。您可以配置用户SSH登录堡垒机时仅可使用密钥认证;配置用户密码的锁定策略,防止用户密码被暴力破解;配置用户状态,管理用户密码的有效期、标记长期未登录用户账号等。
操作步骤
- 登录堡垒机系统。具体操作,请参见登录系统。
- 在左侧导航栏,单击系统设置。
- 在用户配置页签,设置用户密码配置。
配置项 说明 用户登录 禁止SSH密码登录 开启后,SSH登录堡垒机将禁用用户密码认证,仅可使用密钥认证。 用户锁定配置 密码尝试次数 用户连续错误登录的最大次数,超过最大次数,则锁定该用户。 取值范围:0~999,默认值为5。设置为0,表示不锁定账户。
锁定时长 用户锁定后,无法登录的时长,单位:分钟。 取值范围:0~10080,默认值为30。设置为0,表示锁定用户直到管理员解除。
重置计数器 密码错误尝试次数未超过设置的密码尝试次数时,重新开始计算密码尝试次数的时间,单位:分钟。 例如,密码尝试次数设置为5,重置计数器设置为5,当您在14:00:00第4次使用错误密码登录失败,并且您在14:00:00~14:05:00期间没有再次使用错误密码登录时,在当日14:05:00后,错误密码的尝试次数将从0开始计算。
取值范围:0~10080,默认值为5。
用户状态配置 密码有效期 密码的有效时长,超过有效时长后,需要重新设置密码。密码有效期只对本地用户生效。 取值范围:0~365,默认值为0,单位:天。设置为0,表示密码不会过期。
用户长时间未登录 用户超过设置的时间未登录时,用户状态标记为长时间未登录,单位:天。 取值范围:0~365,默认值为0。设置为0,表示不标记状态。
自动同步AD/LDAP用户状态 自动同步已导入堡垒机的AD或LDAP用户源中用户配置信息和状态的时间间隔,单位:分钟。 取值范围:15~14400,默认值为240。
- 单击保存。