Login-Einstellungen
Junos OS Hier können Sie verschiedene Einstellungen für Benutzer definieren, wenn sie sich bei einem Gerät anmelden. Sie (der Systemadministrator) können Folgendes konfigurieren:
- Nachrichten oder Ankündigungen, die vor oder nach der Anmeldung angezeigt werden sollen
- Ob Systemalarme bei der Anmeldung angezeigt werden sollen
- Tipps zum Login
- Zeitbasierter Benutzerzugriff
- Timeout-Werte für Sitzungen im Leerlauf
- Begrenzung der Anzahl der Anmeldeversuche
- Gibt an, ob ein Benutzerkonto nach einer Reihe fehlgeschlagener Authentifizierungsversuche gesperrt werden soll
Anzeige einer Systemanmeldeankündigung oder -meldung
Manchmal möchten Sie Ankündigungen nur für autorisierte Benutzer machen, nachdem sie sich bei einem Gerät angemeldet haben. Sie können z. B. ein bevorstehendes Wartungsereignis ankündigen. In anderen Fällen kann es angebracht sein, jedem Benutzer, der eine Verbindung mit dem Gerät herstellt, eine Meldung anzuzeigen, z. B. eine Sicherheitswarnung.
Standardmäßig Junos OS wird keine Anmeldemeldung oder -ankündigung angezeigt. Sie können das Gerät so konfigurieren, dass eine Anmeldemeldung oder -ankündigung angezeigt wird, indem Sie die message Anweisung oder die announcement Anweisung auf Hierarchieebene [edit system login] einfügen. Während das Gerät eine Anmeldung anzeigt, nachdem ein Benutzer eine Verbindung mit dem Gerät hergestellt hat, aber bevor sich der Benutzer anmeldet, wird erst dann eine announcement angezeigtmessage , nachdem sich der Benutzer erfolgreich am Gerät angemeldet hat.
Sie können den Nachrichten- oder Ankündigungstext mit den folgenden Sonderzeichen formatieren. Wenn der Text Leerzeichen enthält, schließen Sie ihn in Anführungszeichen ein:
-
\n—Neue Zeile
-
\t – Horizontale Registerkarte
-
\': Einfaches Anführungszeichen
-
\" – Doppeltes Anführungszeichen
-
\\—Backslash
So konfigurieren Sie eine Ansage, die nur autorisierten Benutzern angezeigt werden kann, und eine Meldung, die jeder Benutzer sehen kann:
Anzeige von Systemalarmen bei der Anmeldung
Sie können Geräte von Juniper Networks so konfigurieren, dass der show system alarms Befehl immer dann ausgeführt wird, wenn sich ein Benutzer in einer bestimmten Anmeldeklasse beim Gerät anmeldet.
So zeigen Sie Alarme an, wenn sich ein Benutzer in einer bestimmten Anmeldeklasse am Gerät anmeldet:
Wenn sich ein Benutzer in der angegebenen Anmeldeklasse am Gerät anmeldet, zeigt das Gerät die aktuellen Alarme an.
$ ssh user@host.example.com Password: --- JUNOS 21.1R2.6-EVO Linux (none) 4.8.28-WR2.2.1_standard-g3999f55 #1 SMP PREEMPT Fri Jun 4 00:19:58 PDT 2021 x86_64 x86_64 x86_64 GNU/Linux 2 alarms currently active Alarm time Class Description 2021-07-22 15:00:14 PDT Minor port-1/0/0: Optics does not support configured speed 2021-07-22 15:00:14 PDT Minor port-1/0/1: Optics does not support configured speed
Tipps zur Konfiguration der Anmeldung
Sie können die CLI so konfigurieren, dass ein Junos OS Tipp angezeigt wird, wenn sich ein Benutzer in der angegebenen Anmeldeklasse beim Gerät anmeldet. Das Gerät zeigt standardmäßig keine Tipps an.
So aktivieren Sie Tipps:
Wenn Sie die login-tip Anweisung konfigurieren, zeigt das Gerät jedem Benutzer in der angegebenen Klasse, der sich beim Gerät anmeldet, einen Tipp an.
$ ssh user@host.example.com Password: JUNOS tip: In configuration mode, the [edit] banner displays the current location in the configuration hierarchy. user@host>
Konfigurieren des zeitbasierten Benutzerzugriffs
Sie können unterstützte Geräte von Juniper Networks so konfigurieren, dass zeitbasierter Benutzerzugriff für Benutzer in einer bestimmten Klasse erzwungen wird. Der zeitbasierte Benutzerzugriff schränkt die Zeit und Dauer der Benutzeranmeldungen für alle Benutzer ein, die der Klasse angehören. Sie können den Benutzerzugriff basierend auf der Tageszeit oder dem Wochentag einschränken.
Um den Benutzerzugriff auf bestimmte Tage oder Uhrzeiten zu beschränken, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit system login class class-name] ein:
-
allowed-days– Konfigurieren Sie den Benutzerzugriff an bestimmten Wochentagen. -
access-startandaccess-end—Konfigurieren Sie den Benutzerzugriff zwischen der angegebenen Start- und Endzeit (hh:mm).
So konfigurieren Sie den zeitbasierten Benutzerzugriff:
-
Aktivieren Sie den Zugriff an bestimmten Wochentagen.
[edit system login class class-name] user@host# set allowed-days [ day1 day2 ]
So konfigurieren Sie beispielsweise den Benutzerzugriff für die
operator-round-the-clock-accessAnmeldeklasse von Montag bis Freitag ohne Einschränkung der Zugriffszeit:[edit system login class operator-round-the-clock-access] user@host# set allowed-days [ monday tuesday wednesday thursday friday ]
-
Aktivieren Sie den Zugriff zu bestimmten Tageszeiten.
[edit system login class class-name] user@host# set access-start hh:mm user#host# set access-end hh:mm
So konfigurieren Sie beispielsweise den Benutzerzugriff für die
operator-day-shift-all-days-of-the-weekAnmeldeklasse von 8:30 Uhr bis 16:30 Uhr an allen Wochentagen:[edit system login class operator-day-shift-all-days-of-the-week] user@host# set access-start 08:30 user#host# set access-end 16:30
Sie können den Zugriff auch so konfigurieren, dass sowohl Tage als auch Uhrzeiten enthalten sind. Im folgenden Beispiel wird der Benutzerzugriff für die operator-day-shift Anmeldeklasse montags, mittwochs und freitags von 8:30 bis 16:30 Uhr konfiguriert:
[edit system login class operator-day-shift] user@host# set allowed-days [ monday wednesday friday ] user@host# set access-start 08:30 user@host# set access-end 16:30
Alternativ können Sie die Start- und Endzeit der Anmeldung für die operator-day-shift Anmeldeklasse angeben, indem Sie das folgende Format verwenden:
[edit system login class operator-day-shift] user@host# set allowed-days [ monday wednesday friday ] user@host# set access-start 08:30am user@host# set access-end 04:30pm
Die Start- und Endzeiten des Zugriffs können sich an einem bestimmten Tag über 12:00 Uhr erstrecken. In diesem Fall hat der Benutzer noch bis zum nächsten Tag Zugriff, auch wenn Sie diesen Tag nicht explizit in der allowed-days Anweisung konfigurieren.
Konfigurieren des Timeoutwerts für ungenutzte Anmeldesitzungen
Eine Anmeldesitzung im Leerlauf ist eine Sitzung, in der die CLI die Eingabeaufforderung für den Betriebsmodus oder den Konfigurationsmodus anzeigt, aber keine Eingabe über die Tastatur erfolgt. Standardmäßig bleibt eine Anmeldesitzung so lange eingerichtet, bis sich ein Benutzer vom Gerät abmeldet, auch wenn sich diese Sitzung im Leerlauf befindet. Um Leerlaufsitzungen automatisch zu schließen, müssen Sie für jede Anmeldeklasse ein Zeitlimit konfigurieren. Wenn eine Sitzung, die von einem Benutzer in dieser Klasse eingerichtet wurde, für das konfigurierte Zeitlimit inaktiv bleibt, wird die Sitzung automatisch geschlossen. Durch das automatische Schließen von Anmeldesitzungen im Leerlauf wird verhindert, dass böswillige Benutzer Zugriff auf das Gerät erhalten und Vorgänge mit einem autorisierten Benutzerkonto ausführen.
Sie können ein Leerlauftimeout nur für benutzerdefinierte Klassen konfigurieren. Sie können diese Option nicht für die vom System vordefinierten Klassen konfigurieren: operator, read-only, oder superuser, und unauthorized. super-user
So definieren Sie den Timeout-Wert für Anmeldesitzungen im Leerlauf:
Wenn Sie einen Timeout-Wert konfigurieren, zeigt die CLI Meldungen ähnlich der folgenden an, wenn bei einem Benutzer im Leerlauf eine Zeitüberschreitung auftritt. Die CLI zeigt diese Meldungen 5 Minuten vor dem Trennen der Verbindung zum Benutzer an.
user@host> Session will be closed in 5 minutes if there is no activity. Warning: session will be closed in 1 minute if there is no activity Warning: session will be closed in 10 seconds if there is no activity Idle timeout exceeded: closing session
Wenn Sie einen Timeoutwert konfigurieren, wird die Sitzung nach Ablauf der angegebenen Zeit geschlossen, außer in den folgenden Fällen:
-
Der Benutzer führt den
sshBefehl ortelnetaus. -
Der Benutzer ist bei der lokalen UNIX-Shell angemeldet.
-
Der Benutzer überwacht Schnittstellen mit dem
monitor interfaceBefehl odermonitor traffic.
Optionen für den erneuten Anmeldevorgang
Sie können Optionen für Wiederholungsversuche auf Geräten von Juniper Network konfigurieren, um die Geräte vor böswilligen Benutzern zu schützen. Sie können die folgenden Optionen konfigurieren:
-
Die Häufigkeit, mit der ein Benutzer ungültige Anmeldeinformationen eingeben kann, bevor das System die Verbindung schließt.
-
Gibt an, wie lange ein Benutzerkonto gesperrt werden soll, nachdem der Benutzer den Schwellenwert für fehlgeschlagene Authentifizierungsversuche erreicht hat.
Das Begrenzen der Anmeldeversuche und das Sperren des Benutzerkontos tragen dazu bei, das Gerät vor böswilligen Benutzern zu schützen, die versuchen, auf das System zuzugreifen, indem sie das Kennwort eines autorisierten Benutzerkontos erraten. Sie können das Benutzerkonto entsperren oder einen Zeitraum definieren, in dem das Benutzerkonto gesperrt bleibt.
Sie konfigurieren Anmeldewiederholungsoptionen auf Hierarchieebene [edit system login retry-options] . Die tries-before-disconnect Anweisung definiert den Schwellenwert für fehlgeschlagene Anmeldeversuche, bevor das Gerät den Benutzer trennt. Das Gerät lässt standardmäßig drei erfolglose Anmeldeversuche zu.
Die lockout-period Anweisung weist das Gerät an, das Benutzerkonto für die angegebene Zeitspanne zu sperren, wenn der Benutzer den Schwellenwert für erfolglose Anmeldeversuche erreicht. Die Sperre verhindert, dass der Benutzer Aktivitäten ausführt, für die eine Authentifizierung erforderlich ist, bis der Sperrzeitraum abgelaufen ist oder ein Systemadministrator die Sperre manuell aufhebt. Vorhandene Sperren werden ignoriert, wenn der Benutzer versucht, sich von der lokalen Konsole aus anzumelden.
So konfigurieren Sie Optionen für die Wiederholung der Anmeldung:
-
Konfigurieren Sie, wie oft ein Benutzer versuchen kann, ein Kennwort einzugeben.
[edit system login retry-options] user@host# set tries-before-disconnect number
Gehen Sie beispielsweise wie folgt vor, dass ein Benutzer viermal ein Kennwort eingeben kann, bevor das Gerät die Verbindung schließt:
[edit system login retry-options] user@host# set tries-before-disconnect 4
- Konfigurieren Sie die Anzahl der Minuten, die das Benutzerkonto gesperrt bleibt, nachdem ein Benutzer den Schwellenwert für fehlgeschlagene Anmeldeversuche erreicht hat.
[edit system login retry-options] user@host# set lockout-period minutes
So sperren Sie beispielsweise ein Benutzerkonto für 120 Minuten, nachdem ein Benutzer den Schwellenwert für fehlgeschlagene Anmeldeversuche erreicht hat:
[edit system login retry-options] user@host# set lockout-period 120
-
Bestätigen Sie die Konfiguration.
[edit system login retry-options] user@host# commit
Um die Konsole während einer vom Administrator initiierten Abmeldung zu löschen, schließen Sie Zeilenumbruchzeichen (\n) ein, wenn Sie die message Anweisung auf Hierarchieebene [edit system login] konfigurieren. Um die Konsole vollständig zu löschen, kann der Administrator 50 oder mehr \n-Zeichen in die Meldungszeichenfolge eingeben. Beispiele:
user@host# set system login message "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n Welcome to Junos!!!"
Begrenzen Sie die Anzahl der Benutzeranmeldeversuche für SSH- und Telnet-Sitzungen
Sie können begrenzen, wie oft ein Benutzer versuchen kann, ein Kennwort einzugeben, während er sich über SSH oder Telnet bei einem Gerät anmeldet. Das Gerät beendet die Verbindung, wenn sich ein Benutzer nach der angegebenen Anzahl von Versuchen nicht anmelden kann. Sie können auch eine Verzögerung in Sekunden angeben, bevor ein Benutzer nach einem fehlgeschlagenen Versuch versuchen kann, ein Kennwort einzugeben. Darüber hinaus können Sie den Schwellenwert für die Anzahl der fehlgeschlagenen Versuche angeben, bevor der Benutzer eine Verzögerung bei der erneuten Eingabe eines Kennworts erfährt.
Um anzugeben, wie oft ein Benutzer versuchen kann, bei der Anmeldung ein Kennwort einzugeben, fügen Sie die retry-options Anweisung auf Hierarchieebene [edit system login] ein:
[edit system login] retry-options { tries-before-disconnect number; backoff-threshold number; backoff-factor seconds; lockout-period minutes; maximum-time seconds minimum-time seconds; }
Sie können die folgenden Optionen konfigurieren:
-
tries-before-disconnect– Maximale Häufigkeit, mit der ein Benutzer ein Kennwort eingeben kann, wenn er sich über SSH oder Telnet beim Gerät anmeldet. Die Verbindung wird geschlossen, wenn sich ein Benutzer nach der angegebenen Nummer nicht anmelden kann. Der Bereich liegt zwischen 1 und 10, und der Standardwert ist 3. -
backoff-threshold– Schwellenwert für die Anzahl der fehlgeschlagenen Anmeldeversuche, bevor der Benutzer eine Verzögerung bei der erneuten Eingabe eines Kennworts erfährt. Der Bereich liegt zwischen 1 und 3, und der Standardwert ist 2. Verwenden Sie diebackoff-factorOption, um die Länge der Verzögerung anzugeben. -
backoff-factor– Zeitspanne in Sekunden, die der Benutzer nach einem fehlgeschlagenen Anmeldeversuch oberhalb von .backoff-thresholdDie Verzögerung erhöht sich um den angegebenen Wert für jeden weiteren Versuch nach dembackoff-thresholdWert. Der Bereich liegt zwischen 5 und 10, und der Standardwert ist 5 Sekunden. -
lockout-period– Zeitspanne in Minuten, die ein Benutzerkonto nach Erreichen des Schwellenwertstries-before-disconnectgesperrt wird. Der Bereich reicht von 1 bis 43.200 Minuten. -
maximum-time seconds– Maximale Zeitspanne (in Sekunden), für die die Verbindung geöffnet bleibt, damit der Benutzer einen Benutzernamen und ein Kennwort eingeben muss, um sich anzumelden. Wenn der Benutzer im Leerlauf bleibt und keinen Benutzernamen und kein Kennwort innerhalb der konfiguriertenmaximum-time, wird die Verbindung geschlossen. Der Bereich liegt zwischen 20 und 300 Sekunden, der Standardwert ist 120 Sekunden. -
minimum-time– Minimale Zeitspanne in Sekunden, die eine Verbindung geöffnet bleibt, während ein Benutzer versucht, ein korrektes Kennwort einzugeben. Der Bereich liegt zwischen 20 und 60, und der Standardwert ist 20 Sekunden.
Die Begrenzung der Anzahl der SSH- und Telnet-Anmeldeversuche pro Benutzer ist eine der effektivsten Methoden, um zu verhindern, dass Brute-Force-Angriffe Ihre Netzwerksicherheit gefährden. Brute-Force-Angreifer führen in kurzer Zeit eine Vielzahl von Anmeldeversuchen aus, um sich unrechtmäßig Zugang zu einem privaten Netzwerk zu verschaffen. Durch die Konfiguration der retry-options Anweisungen können Sie nach jedem fehlgeschlagenen Anmeldeversuch eine zunehmende Verzögerung erzeugen, wodurch schließlich alle Benutzer getrennt werden, die den von Ihnen festgelegten Schwellenwert für Anmeldeversuche überschreiten.
So begrenzen Sie die Anmeldeversuche, wenn sich ein Benutzer über SSH oder Telnet anmeldet:
Bei der folgenden Konfiguration kommt es zu einer Verzögerung von 5 Sekunden, nachdem der zweite Versuch, ein korrektes Kennwort einzugeben, fehlgeschlagen ist. Nach jedem weiteren Fehlversuch erhöht sich die Verzögerung um 5 Sekunden. Nach dem vierten und letzten fehlgeschlagenen Versuch, ein korrektes Kennwort einzugeben, erfährt der Benutzer eine zusätzliche Verzögerung von 10 Sekunden. Die Verbindung wird nach insgesamt 40 Sekunden geschlossen.
[edit]
system {
login {
retry-options {
backoff-threshold 2;
backoff-factor 5;
minimum-time 40;
tries-before-disconnect 4;
}
}
}
Beispiel: Konfigurieren der Optionen für die erneute Anmeldung
In diesem Beispiel wird gezeigt, wie Sie Optionen für die Wiederholung der Anmeldung konfigurieren, um ein Gerät vor böswilligen Benutzern zu schützen.
Anforderungen
Bevor Sie beginnen, sollten Sie verstehen Begrenzen Sie die Anzahl der Benutzeranmeldeversuche für SSH- und Telnet-Sitzungen.
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Böswillige Benutzer versuchen manchmal, sich bei einem sicheren Gerät anzumelden, indem sie das Kennwort eines autorisierten Benutzerkontos erraten. Sie können ein Benutzerkonto nach einer bestimmten Anzahl fehlgeschlagener Authentifizierungsversuche sperren. Diese Vorsichtsmaßnahme trägt dazu bei, Geräte vor böswilligen Benutzern zu schützen.
Sie können die Anzahl der fehlgeschlagenen Anmeldeversuche konfigurieren, bevor das Gerät das Benutzerkonto sperrt, und Sie können die Zeitspanne konfigurieren, für die das Konto gesperrt bleibt. Sie können auch die Zeitspanne konfigurieren, die der Benutzer zwischen fehlgeschlagenen Anmeldeversuchen warten muss.
Dieses Beispiel enthält die folgenden Einstellungen:
-
backoff-factor– Länge der Verzögerung in Sekunden, die der Benutzer nach jedem fehlgeschlagenen Anmeldeversuch oberhalb von .backoff-thresholdDie Verzögerung erhöht sich um diesen Wert für jeden weiteren Anmeldeversuch nach dem in derbackoff-thresholdAnweisung angegebenen Wert. -
backoff-threshold– Schwellenwert für die Anzahl der fehlgeschlagenen Anmeldeversuche auf dem Gerät, bevor der Benutzer eine Verzögerung beim Versuch erfährt, ein Kennwort erneut einzugeben. Wenn ein Benutzer den Schwellenwert für fehlgeschlagene Anmeldeversuche erreicht, erlebt der Benutzer die in derbackoff-factorAnweisung festgelegte Verzögerung. Nach der Verzögerung kann der Benutzer einen weiteren Anmeldeversuch unternehmen. -
lockout-period: Anzahl der Minuten, die das Benutzerkonto gesperrt wird, nachdem der Benutzer dentries-before-disconnectSchwellenwert erreicht hat. Der Benutzer muss die konfigurierte Anzahl von Minuten warten, bevor er sich erneut am Gerät anmelden kann. -
tries-before-disconnect- Maximale Häufigkeit, mit der der Benutzer ein Kennwort eingeben kann, um zu versuchen, sich über SSH oder Telnet beim Gerät anzumelden.
Wenn Sie vom Gerät ausgesperrt sind, können Sie sich am Konsolenport des Geräts anmelden, wodurch alle Benutzersperren ignoriert werden. Dies bietet Administratoren die Möglichkeit, die Benutzersperre für ihr eigenes Benutzerkonto aufzuheben.
In diesem Beispiel wird die tries-before-disconnect Option auf 3 festgelegt. Infolgedessen hat der Benutzer drei Versuche, sich am Gerät anzumelden. Wenn die Anzahl der fehlgeschlagenen Anmeldeversuche gleich dem in der backoff-threshold Anweisung angegebenen Wert ist, muss der Benutzer warten, bis das backoff-threshold Intervall in Sekunden multipliziert wird backoff-factor , um die Anmeldeaufforderung zu erhalten. In diesem Beispiel muss der Benutzer 5 Sekunden nach dem ersten fehlgeschlagenen Anmeldeversuch und 10 Sekunden nach dem zweiten fehlgeschlagenen Anmeldeversuch warten, um die Anmeldeaufforderung zu erhalten. Das Gerät trennt den Benutzer nach dem dritten fehlgeschlagenen Versuch.
Wenn sich der Benutzer nach drei Versuchen nicht erfolgreich anmeldet, wird das Benutzerkonto gesperrt. Der Benutzer kann sich erst nach Ablauf von 120 Minuten anmelden, es sei denn, ein Systemadministrator hebt die Sperre während dieser Zeit manuell auf.
Ein Systemadministrator kann ein Konto manuell entsperren, indem er den clear system login lockout user <username> Befehl ausgibt. Der show system login lockout Befehl zeigt an, welche Benutzerkonten gesperrt sind und wann der Sperrzeitraum für jeden Benutzer beginnt und endet.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set system login retry-options backoff-factor 5 set system login retry-options backoff-threshold 1 set system login retry-options lockout-period 120 set system login retry-options tries-before-disconnect 3
Schritt-für-Schritt-Anleitung
So konfigurieren Sie System-Wiederholungsoptionen:
-
Konfigurieren Sie den Backoff-Faktor.
[edit] user@host# set system login retry-options backoff-factor 5
-
Konfigurieren Sie den Backoff-Schwellenwert.
[edit] user@host# set system login retry-options backoff-threshold 1
-
Konfigurieren Sie die Anzahl der Minuten, die das Benutzerkonto gesperrt bleibt, nachdem ein Benutzer den Schwellenwert für fehlgeschlagene Anmeldeversuche erreicht hat.
[edit] user@host# set system login retry-options lockout-period 120
-
Konfigurieren Sie, wie oft ein Benutzer versuchen kann, ein Kennwort einzugeben.
[edit] user@host# set system login retry-options tries-before-disconnect 3
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system login retry-options Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show system login retry-options tries-before-disconnect 3; backoff-threshold 1; backoff-factor 5; lockout-period 120;
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Gesperrte Benutzeranmeldungen anzeigen
Zweck
Vergewissern Sie sich, dass die Konfiguration für die Anmeldesperre aktiviert ist.
Action!
Versuchen Sie, sich dreimal erfolglos für einen bestimmten Benutzernamen anzumelden. Das Gerät wird für diesen Benutzernamen gesperrt. Melden Sie sich dann mit einem anderen Benutzernamen am Gerät an. Geben Sie im Betriebsmodus den show system login lockout Befehl ein, um die gesperrten Konten anzuzeigen.
user@host> show system login lockout User Lockout start Lockout end jsmith 2021-08-17 16:27:28 PDT 2021-08-17 18:27:28 PDT
Bedeutung
Nachdem Sie drei erfolglose Anmeldeversuche mit einem bestimmten Benutzernamen durchgeführt haben, wird das Gerät für diesen Benutzer für 120 Minuten gesperrt, wie im Beispiel konfiguriert. Sie können überprüfen, ob das Gerät für diesen Benutzer gesperrt ist, indem Sie sich mit einem anderen Benutzernamen beim Gerät anmelden und den show system login lockout Befehl eingeben.