用户配置

为了保障系统的安全,堡垒机提供用户登录方式、用户锁定和用户状态配置功能。您可以配置用户SSH登录堡垒机时仅可使用密钥认证;配置用户密码的锁定策略,防止用户密码被暴力破解;配置用户状态,管理用户密码的有效期、标记长期未登录用户账号等。

  1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

  2. 在堡垒机实例列表,定位到目标实例,单击管理

  3. 在左侧导航栏,单击系统设置

  4. 用户配置页签,参考下表进行相关配置,单击保存

    配置项

    说明

    用户登录配置

    禁止SSH密码登录

    开启后,在进行SSH协议运维或SSH隧道运维时,将禁止使用密码登录堡垒机,仅可使用密钥或运维令牌认证。

    禁止SSH密钥登录

    开启后,通过SSH协议运维工具登录堡垒机运维主机或通过SSH隧道运维数据库时,将禁用密钥认证,仅允许使用密码登录或运维令牌进行登录。

    关闭私网运维门户人机验证

    开启后,通过私网地址登录运维门户时不再进行人机验证。由于运维门户人机验证需要在公网环境中进行,因此在客户端无公网的情况下,需启用此配置,以防止无法登录私有网运维门户。

    用户锁定配置

    密码尝试次数

    用户登录时密码连续错误的最大次数,超过最大次数,则锁定该用户。

    取值范围:0~999,默认值为5。设置为0,表示不锁定账户。

    锁定时长

    用户锁定后,无法登录的时长,单位:分钟。

    取值范围:0~10080,默认值为30。设置为0,表示锁定用户直到管理员解除。

    重置计数器

    密码错误尝试次数未超过设置的密码尝试次数时,重新开始计算密码尝试次数的时间,单位:分钟。

    例如,密码尝试次数设置为5重置计数器设置为5,当您在14:00:00第4次使用错误密码登录失败,并且您在14:00:00~14:05:00期间没有再次使用错误密码登录时,在当日14:05:00后,错误密码的尝试次数将从0开始计算。

    取值范围:0~10080,默认值为5。

    用户密码安全配置

    密码有效期

    用户密码的有效时长,超过有效时长后,需要重新设置密码。密码有效期只对本地用户生效。

    取值范围:0~365,默认值为0,单位:天。设置为0,表示密码不会过期。

    用户历史密码检查

    用户重置密码时,不能重置为该用户曾使用过的密码。取值范围:0~30个。默认值为5,0表示不做限制。

    用户状态配置

    用户长时间未登录标记

    用户超过设置的时间未登录时,用户状态标记为长时间未登录,单位:天。

    取值范围:0~365,默认值为0。设置为0,表示不标记状态。

    长时间未登录用户自动锁定

    开启后,系统将自动锁定长时间未登录用户,该用户被管理员解锁后才可正常使用。

    自动同步已导入AD/LDAP用户信息和状态

    自动同步已导入堡垒机的AD或LDAP用户源中用户配置信息和状态的时间间隔,单位:分钟。

    取值范围:15~14400,默认值为240。