为了保障系统的安全,堡垒机提供用户登录方式、用户锁定和用户状态配置功能。您可以配置用户SSH登录堡垒机时仅可使用密钥认证;配置用户密码的锁定策略,防止用户密码被暴力破解;配置用户状态,管理用户密码的有效期、标记长期未登录用户账号等。
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,单击系统设置。
在用户配置页签,参考下表进行相关配置,单击保存。
配置项
说明
用户登录配置
禁止SSH密码登录
开启后,在进行SSH协议运维或SSH隧道运维时,将禁止使用密码登录堡垒机,仅可使用密钥或运维令牌认证。
禁止SSH密钥登录
开启后,通过SSH协议运维工具登录堡垒机运维主机或通过SSH隧道运维数据库时,将禁用密钥认证,仅允许使用密码登录或运维令牌进行登录。
关闭私网运维门户人机验证
开启后,通过私网地址登录运维门户时不再进行人机验证。由于运维门户人机验证需要在公网环境中进行,因此在客户端无公网的情况下,需启用此配置,以防止无法登录私有网运维门户。
用户锁定配置
密码尝试次数
用户登录时密码连续错误的最大次数,超过最大次数,则锁定该用户。
取值范围:0~999,默认值为5。设置为0,表示不锁定账户。
锁定时长
用户锁定后,无法登录的时长,单位:分钟。
取值范围:0~10080,默认值为30。设置为0,表示锁定用户直到管理员解除。
重置计数器
密码错误尝试次数未超过设置的密码尝试次数时,重新开始计算密码尝试次数的时间,单位:分钟。
例如,密码尝试次数设置为5,重置计数器设置为5,当您在14:00:00第4次使用错误密码登录失败,并且您在14:00:00~14:05:00期间没有再次使用错误密码登录时,在当日14:05:00后,错误密码的尝试次数将从0开始计算。
取值范围:0~10080,默认值为5。
用户密码安全配置
密码有效期
用户密码的有效时长,超过有效时长后,需要重新设置密码。密码有效期只对本地用户生效。
取值范围:0~365,默认值为0,单位:天。设置为0,表示密码不会过期。
用户历史密码检查
用户重置密码时,不能重置为该用户曾使用过的密码。取值范围:0~30个。默认值为5,0表示不做限制。
用户状态配置
用户长时间未登录标记
用户超过设置的时间未登录时,用户状态标记为长时间未登录,单位:天。
取值范围:0~365,默认值为0。设置为0,表示不标记状态。
长时间未登录用户自动锁定
开启后,系统将自动锁定长时间未登录用户,该用户被管理员解锁后才可正常使用。
自动同步已导入AD/LDAP用户信息和状态
自动同步已导入堡垒机的AD或LDAP用户源中用户配置信息和状态的时间间隔,单位:分钟。
取值范围:15~14400,默认值为240。