ntpwedit提示密码未修改_关于开启密码控制策略所引发的一些问题

    记得那天应该是周末，我碎的正香，手机突然响了，来电是强哥的电话，说是帮忙看一个问题，他在用户机房，一台MSR5680需要新增几个用户账户，发现添加用户账户时提示用户账户信息在更新，再重新更改密码提示无法更改，现象如下图(当时的现象和如下图片类似，我这里只是模拟场景复现了下)：

看到强哥发我的截图，觉得应该是设备开启密码控制策略功能了，远程登录上去看了下，果不其然。

    金融类或者保密性要求比较高的单位，出于安全性考虑，会定期对网络设备上的管理账户进行更新。保障网络设备安全性毋庸置疑，但是也会带来一些新的问题，如管理、维护的复杂度，增加了运维管理人员的工作量等。

    H3C设备上由于开启密码控制策略所带来的问题已经屡见不鲜了，为了避免在遇到此类问题，本篇文章罗列了各种问题现象及原因，以下仅供学习参考，如有错误，欢迎指正。

设备侧开启方法：

password-control enable

参数：

缺省的密码控制策略

密码控制策略参数的解释

现象1：添加用户时提示在更新

解释：开启全局密码管理功能后，添加的用户账户信息就会有如上的提示，这个是正常的。一旦密码控制策略功能被开启，设备自动生成后缀名为“dat”的文件并保存于存储介质中用于记录本地用户的认证、登录信息。请不要手工删除或修改该文件

现象2：密码多次输入错误，导致当时无法登录

解释：开启密码控制策略后，用户首次登陆会提示让修改密码的。如果用户出现过多次登录失败，默认3次，则该用户账户会被锁定，加入到黑名单中，默认锁定时长1min

现象3：密码过期前7天的登录用户的提示

解释：出现该状态，表示用户密码快过期了，默认要求用户密码必须在90天内做更改、提前7天会有日志提示，建议用户修改密码

现象4：密码90天内未更改，提示如下信息

解释：用户密码缺省90天内未进行修改，则可以在允许的时间段内在登录几次，登录时会有日志提示，如上所示，默认是1个月时间内允许3次登录，如果这3次还未修改密码，则密码过期后将无法登录

现象5：密码过期后无法登录，提示如下图

解释：默认90天内未修改密码信息，则无法通过该账户进行登录，可以通过多种方法解决无法登录的问题：

• console上去更新用户账户密码信息

• 将系统时间修改到比较早的时间，如2019/1/1，则可以使用之前的用户账户和密码进行登录

• console登录上去关闭掉密码策略控制功能

现象6：更新用户密码提示无法更新

解释：默认两次更新密码的时间间隔是24h，出现如上提示可以通过几种方法解决

• 修改系统时间后再修改密码

• console登录上去关闭密码策略控制功能

注：

1. 全局密码控制策略功能开启后，默认90天内要求更新密码，用户更新密码后该信息会以设备当前时间写入到设备Flash的lauth.dat中，后续的更改密码时间间隔、密码老化时间都是对比写入到文件中的时间的，如果90天内未修改，默认还会允许在30天内登陆3次，即120天内必须修改密码

2. 多次修改账户密码系统会有密码复杂性检测机制，只有符合要求的密码才能设置成功

一码不扫，
可以扫天下？