背景信息
为了保证用户账号和密码安全,设备提供账号锁定功能。在重试时间间隔内,如果某用户连续输入账号或密码错误并达到了限制次数,该账号将被锁定,经过锁定时间后账号才会解锁。
本地认证用户的账号锁定功能:默认已开启,用户在5分钟内连续3次输入的密码错误,该用户的帐号会被锁定5分钟。默认配置可以在AAA视图下通过命令local-aaa-user wrong-password retry-interval retry-interval retry-timeretry-time block-time block-time修改。
V200R019C00版本之前,服务器认证用户的账号锁定功能:默认已开启,用户在5分钟内连续30次输入的密码错误,该用户的帐号会被锁定5分钟。默认配置可以在AAA视图下通过命令remote-aaa-user authen-fail retry-interval retry-interval retry-time retry-time block-time block-time修改。
V200R019C00版本之后,服务器认证用户的账号锁定功能区分接入用户和管理员用户。
服务器认证的接入用户的账号锁定功能:默认关闭,可以在AAA视图下通过命令access-user remote authen-fail retry-interval retry-interval retry-time retry-time block-time block-time修改。
服务器认证的管理员用户的账号锁定功能:默认已开启,用户在5分钟内连续30次输入的密码错误,该用户的帐号会被锁定5分钟。默认配置可以在AAA视图下通过命令administrator remote authen-fail retry-interval retry-interval retry-time retry-time block-time block-time修改。
故障现象
执行命令display aaa online-fail-record all,发现User online fail reason字段显示为Remote user is blocked,表示远端认证用户账号被锁定;显示为Local Authentication user block,表示本地认证用户账号被锁定。
处理步骤
以下处理步骤以本地认证用户账号被锁定为例,远端认证用户账号被锁定的处理步骤与之类似。
执行命令display local-user state block,查看被锁定的本地账号和剩余锁定时长。
2、根据剩余锁定时长Block-time-left,确认被锁定的账号是否需要立即激活。
如果需要,请在AAA视图下执行命令local-user name state active激活该用户。激活后需要使用正确的用户名密码登录,否则失败次数达到条件后仍会被锁定。
如果不需要,请在剩余锁定时长后,使用正确的用户名密码登录,否则失败次数达到条件后仍会被锁定。
注:如果一个账号被多个终端使用,该账号被锁定后,使用该账号的所有终端认证时都会认证失败。