HP OpenVMS Systems Documentation

Content starts here

OpenVMS 用户手册


前页 目录 索引

1.3.2 更改您的初始密码

在建立您的帐户后不久便注册帐户去更改您的密码。如果帐户建立后经过一段时间您才进行第一次注册,其他用户可能成功地注册您的帐户,获得损害系统的机会。同样地,如果您忽视更 拿苈牖蛘卟荒茏稣饧拢低骋廊灰资芄セ鳌?赡艿乃鸷蟮匾览涤谄渌行У陌踩胧S泄馗拿苈氲钠渌畔ⅲ氩卧 1.7

1.3.3 密码限制

系统检查密码的可接受性如下:

  • 自动把新密码与系统字典比较。确保密码不是本国语言字。
  • 维护旧密码的历史列表,将每一个新密码与该表比较,确保不重新使用密码。
  • 实施最短的密码长度,这是系统管理员在您的 UAF 记录指定的。

系统拒绝在系统字典可以查找到的、曾经使用的,和比 UAF 中指定的最短密码长度还短的任何密码。

1.3.4 密码类型

OpenVMS 操作系统识别几种密码类型:

  • 用户密码
    多数帐户需要。在输入用户名后,提示输入的密码。如果帐户需要主密码和次密码,必须输入这两个密码。
  • 系统密码
    安全管理员决定需要的控制对特定终端的存取权。通常有必要使用系统密码控制对终端的存取,以避免未授权使用,例如拨号和公用终端线路。
  • 主密码
    为需要主和次密码的帐户输入的两个密码的第一个密码。
  • 次密码
    为需要主和次密码的帐户输入的两个密码的第二个密码。次密码为用户帐户提供附加级别的安全。 典型情况是,主用户不知道次密码; 监督者或其他关键人物必须当面提供它。对于某些应用,监督者也可以决定使用该帐户时保持在场。因而,次密码帮助控制注册,而且这样的动作发生在注册后。 次密码可以是耗时且不便的。只有在需要最大安全的场合,才有必要使用次密码。帐户需要双密码的一个例子是,跳过正常的存取控制准许紧急修补数据库。

1.3.5 输入系统密码

安全管理员会告诉您是否必须指定一个系统密码来注册一个或多个指定使用的终端。向安全管理员请问当前的系统密码、更改频率以及当它更改后如何获得新的系统密码。

要指定系统密码,做以下几步:

步骤 任务
1 按下 Enter 键直到终端用识别字符响应,一般是铃声。
2 键入系统密码并按下 Enter 键。没有提示并且系统不显示您键入的字符。如果您没有指定正确的系统密码,系统不通知您。(最初,您可能认为系统出现故障,除非您知道 这个终端需要系统密码。) 如果您没有接收到系统响应,就假定您输入了错误的密码并且再试。
3 当您输入了正确的系统密码时,您就会接收到系统的宣告消息 (如果有一个),跟随用户名: 提示。例如:
MAPLE - A member of the Forest Cluster

 Unauthorized Access is Prohibited



Username:


1.3.6 输入次密码

安全管理员在建立您的帐户时决定您的帐户是否需要使用次密码。当您的帐户需要主和次密码时,您需要两个密码来注册。安全管理员在您的 UAF 指定的最小密码长度将应用于这两个密码。

如同单个密码注册,系统为整个注册过程分配有限数量的时间。如果您不按时输入次密码,那么注册期将过期。

以下例子展示需要主和次密码的注册:


  WILLOW - A member of the Forest Cluster
         Welcome to OpenVMS on node WILLOW

Username: RWOODS
Password:           [Enter]
Password:           [Enter]
    Last interactive login on Friday, 11-DEC-2002 10:22
$

1.3.7 不同类型帐户的密码要求

四类用户帐户可用于 OpenVMS 系统:

  • 密码保护的帐户,您或安全管理员会周期性地更改密码。这种类型的帐户是最普通的。
  • 总是需要密码的帐户,但是禁止您更改密码。通过锁定密码 (在 UAF 中设置 LOCKPWD 标记),安全管理员控制对密码的所有更改。
  • 受限帐户限制您使用系统并且有时需要密码。
  • 开放帐户不需要密码。当您注册到一个公开帐户时,系统不向您提示密码,而您也不必输入一个。您可以立即开始输入命令。因为开放帐户允许 任何人获得对系统的存取权,因此他们只使用在带最小安全需求的站点中。

1.4 读取通知信息

当您从直接连接到计算机的终端注册时,OpenVMS 系统显示通知性系统消息,如以下例子所示。


WILLOW - A member of the Forest Cluster                        (1)
        Unlawful Access is Prohibited

Username:  RWOODS
Password:
    您有以下断开的进程:                                  (2)
终端   	  进程名          映象名
VT320:    RWOODS         (没有)
Welcome to OpenVMS on node WILLOW                     (3)
    Last interactive login on Wednesday,  11-DEC-2002 10:20    (4)
    Last non-interactive login on Monday, 30-NOV-2002 17:39    (5)
        2 failures since last successful login                 (6)

          You have 1 new mail message.
  $

注意以下关于例子的说明:

  1. 宣告消息标识节点 (和,如果有关,OpenVMS 簇名称)。它也可以警告未被授权的用户禁止非法存取。系统管理员或安全管理员可以控制这个消息的外观和内容。
  2. 断开进程消息通知您在上次成功注册后断开一段时间但是仍然可用的进程。您可以选择重新连接旧的进程,回到您断开之前的状态。只有当以下条件存在 时,系统才显示断开的消息:
    • 发生中断的终端设置为虚拟终端。
    • 您的终端设置为一个可以断开的终端。
    • 在新近的对话期中,在您注销之前断开终端到中央处理器 (CPU) 的连接。

    一般而言,安全管理员应该允许您重新连接,因为这种能力不会对系统安全引起特殊的问题。然而,安全管理员可以通过更改终端设置和禁止系统上的虚拟终端来撤消这 个功能。(有关设置和重新连接虚拟终端的详情,请参阅 OpenVMS 系统管理员手册。)
  3. 欢迎消息指出正在运行的 OpenVMS 操作系统的版本号和您注册的节点名称。系统管理员可以挑选不同的消息或 完全取消这个消息。
  4. 最后成功交互注册消息提供最后完成的本地、拨号或远程注册的时间。(系统不计来自其父 进程是这些注册类型之一的子进程的注册。)
  5. 最后成功非交互注册消息提供最后非交互 (批量或网络) 注册完成的时间。
  6. 注册失败次数消息指出尝试注册失败的次数。(只计数因错误密码而导致的注册失败。) 为吸引您的注意,在出现消息后有一铃声。
  7. 新邮件消息指出您 是否有任何未读的邮件消息。

1.4.1 抑制消息

安全管理员可以取消包括节点名和操作系统标识的宣告和欢迎消息。因为注册过程根据不同操作系统而不同,因此没有这个消息是难以注册的。

最后注册成功和失败消息是可选的。安全管理员可以按组允许或撤消该消息。带中级或高级安全的站点需要显示这些消息,因为它们可以指出非法存取企图。另外,通过展示系统正在监控注册,这些消息可以 是对潜在非法用户的一种威慑。

1.4.2 成功注册消息

每次您注册时,系统重置最后成功注册的值和注册失败的次数。如果您交互地存取您的帐户而在注册时不指定错误的密码,那么您可以不参阅最后成功非交互注册和注册失败消息。

1.5 注册类型和注册种类

注册可以是交互或非交互之一。当您交互地注册时,您要输入用户名和密码。在非交互注册中,系统执行对您的标识和证实; 不向您提示用户名和密码。

除交互和非交互注册外,OpenVMS 操作系统识别不同种类的注册。您如何注册系统确定您属于哪一种注册种类。基于您的注册种类以及当日时间或当周日期,系统管理员控制您对系统的存取权 。

1.5.1 交互注册

交互注册包括以下注册种类:

  • 本地
    从直接连接中央处理机的终端或从直接与中央处理机通信的终端服务器注册。
  • 拨号
    注册到使用调制解调器和电话线与计算机系统建立连接的终端。依赖于系统使用的终端,您可能最初需要执行很少的附加步骤。站点安全管理员可以为您提供必要的细节。
  • 远程
    通过输入 DCL 命令 SET HOST,您注册到网络上的一个节点。例如,要存取远程节点 HUBBUB,输入以下命令:


    $ SET HOST HUBBUB
    

    如果您对节点 HUBBUB 的一个帐户有存取权,您可以从本地节点注册到那个帐户。您对节点 HUBBUB 上的设施有存取权,但是仍然保持与本地节点的物理的连接。
    有关远程对话期的详情,请参阅 1.12.2

1.5.2 非交互注册

非交互注册包括以下种类:

  • 网络注册
    当您开始一个在远程节点上的网络任务时,系统执行网络注册,例如显示存储在另一个节点目录上的目录内容或复制文件。您的当前系统和远程系统两者都必须是同样网络 上的节点。在文件说明中,您标识目标节点并提供包括用于远程节点的用户名和密码的存取控制字符串。例如,当在远程节点 PARIS 有一个帐户的用户 GREG 输入以下命令 时,将发生一个网络注册:

    $ DIRECTORY PARIS"GREG 8G4FR93A"::WORK2:[PUBLIC]*.*;*

    这个命令显示在磁盘 WORK2 上公用目录的所有文件列表。它也展现密码 8G4FR93A。一个执行同样任务的更加安全的方法是使用节点 PARIS 的一个代理帐户。有关代理注册的例子,请参阅 10.5.3
  • 批量注册s
    当您提交的批量作业运行时,系统执行批量注册。在提交作业时确定对建立作业的授权。当系统准备执行作业时,作业控制程序建立 一个注册到您的帐户的非交互进程。当作业注册时不需要密码。

1.6 注册失败

因任何原因 注册可能失败。您的密码之一可能已更改或者您的帐户可能已过期。您也许尝试通过网络或从调制解调器注册,但是没有被授权这样做。下表概述注册失败的普通原因:

失败指示 原因
没有终端的响应 终端有缺陷,终端需要系统密码,或者终端没有通电。
没有任何终端的响应 系统已关闭。
当您输入系统密码时没有终端的响应 系统密码已更改。
系统消息:  
"用户授权失败" 在您的用户名或密码中键入出错。

帐户或密码已过期。

"没有授权从这个来源注册" 禁止特定种类的注册 (本地、拨号、远程、交互、批量或网络)。
"没有授权在这个时间注册" 您无权在当周的这一天或当日的这一小时注册。
"用户授权失败" (和发生未知的用户失败) 在这个终端上发现使用您的用户名进行非法存取企图,而系统临时撤消在该终端使用您的用户名进行任何注册。

以下各节更加详细地描述注册失败的原因。

1.6.1 需要系统密码的终端

如果尝试使用的终端需要系统密码而您却不知道,那么您就不能注册。所有尝试将导致注册失败,直到您输入正确的系统密码。

如果您知道系统密码,执行在 1.3.5 描述的步骤。如果尝试失败,可能是已更改了系统密码。如果您不知道系统密码且认为难以知道,设法在另一个终端注册或请求新的系统密码。

1.6.2 注册种类限制

如果您尝试一种在您的 UAF 记录中禁止的注册,您将注册失败。例如,安全管理员可以限制您不能从网络注册。如果您尝试网络注册,您就会接收到一个消息告诉您没有授权从这 个来源注册。

安全管理员可以限制您的注册包括或排除以下任何种类的注册: 本地、远程、拨号、批量或网络。

1.6.3 轮班限制

注册困难的 另一个原因是没有观察您的轮班限制。系统管理员或安全管理员可以基于当日时间或当周日期控制对系统的存取权。这些限制强加在各种注册上。安全管理员可以把同样的工作时间限制应用 在所有种类的注册上或者为不同的注册种类挑选放置不同的限制。

如果您尝试在所用种类注册禁止的时间内注册,将注册失败。系统会通报您没有授权在这个时间注册。

1.6.4 轮班限制期间的批量作业

当轮班限制应用于批量作业时,如果提交预定运行的作业已超出准许工作时间,则不会运行。系统不会在您的下一个可用准许的工作时间自动重新提交这样的作业。同样地,如果您已开始任何 一种作业并尝试在准许时段之外运行它,那么当到达已分配的轮班时间末端时,作业控制程序会异常结束非完成的作业。这个作业的终止行为将应用于所有作业。

1.6.5 拨号注册失败

安全管理员可以控制分配给您的在拨号注册时在自动断开连接之前输入正确密码的机会次数。

如果注册失败且想继续尝试,按下 Enter 键然后再试。您可以一直这么做,直到成功或者达到限制。如果失去连接,可以重新拨号存取线路并且开始再次。

限制拨号注册失败次数的典型原因是阻碍未被授权的用户尝试通过反复试验获得密码。因为拨号线路,他们已经有了匿名的优势。当然,限制每次拨号注册的尝试次数不能停止这种 非法存取企图。作恶者只需要重新拨号就可开始另一个注册。

1.6.6 回避非法侵入过程

如果任何人在同样终端使用您的用户名尝试注册失败了很多次,系统可以响应为好象一个非法存取企图正在进行。也就是说,系统推断出有人正在尝试使用您的用户名非法获得对系统的存取权。

在安全管理员的判断下,回避非法侵入措施可以作用于系统的所有用户。安全管理员控制允许多少次密码尝试,以及多长时间。一旦触发回避非法侵入策略,您就不能在定义的时间间 裟谧⒉岬秸飧鲋斩耍词鼓褂昧苏返拿苈搿0踩芾碓笨梢愿嫠吣谥匦鲁⑹宰⒉嶂氨匦氲却嗑茫蛘吣梢缘搅硪桓鲋斩顺⑹宰⒉帷

如果您推测回避非法侵入正在阻止您注册,而您又没有亲自经历过任何注册失败,那么立即联系您的安全管理员。一起尝试另一个注册,并检查展现自从最后注册以来的注册失败 次数的消息,确定或否认您对非法存取企图的猜测。(如果您的系统通常不显示注册消息,那么安全管理员可以使用 Authorize 公用程序 (AUTHORIZE) 来检查您的 UAF 记录中的数据。) 在提示动作下,安全管理员可以找出某人正在尝试在另一个终端注册。

1.7 更改密码

经常更改密码可提高系统安全。要更改密码,输入 DCL 命令 SET PASSWORD。

当更改密码时,系统管理员可以允许您选择自己的密码,或者使用自动密码产生器。如果选择自己的密码,注意密码必须符合系统在长度和可接受性方面的限制(参阅 1.3.3 )。

您可以在给定时间内多次更改密码,次数没有约束。

以下例子展示太短的密码选择:

$ SET PASSWORD
Old password:
New password:
%SET-F-INVPWDLEN, password length must be between 12 and 32
characters; password not changed


前页 后页 目录 索引