认证安全

登录超时

当用户超过设定时长无操作时，弹出登录过期提示对话框，再次操作需重新登录。

CS登录超时

超过设定时长无操作时，本地客户端的连接会自动断开，再次操作需要重新登录。仅对RDP和SSH字符协议生效。

验证码

开启后，Web登录时需要输入验证码。超过设定时间后，验证码失效，需单击刷新重新获取。

运维保活

开启后，运维会话在线，WEB登录就不会过期。

多点登录

开启后，允许同一用户同时在多地登录。禁止多点登录时，后者将会顶掉前者，前者会被强制注销，并提醒已在别处登录。

禁用admin

开启后，admin无法登录堡垒机，请谨慎操作。

会话绑定源IP

开启后，如果会话IP与源IP不一致，则删除会话跳转登录页。

登录失败

30分钟内连续输入错误5次自动锁定30分钟，表示用户在30分钟内连续5次输入错误的密码，则执行锁定用户或锁定IP的动作；一旦锁定，需等待管理员解锁，用户才能重新登录。

锁定用户

• 勾选后，如果用户30分钟内连续5次输入错误的密码，则锁定该用户。
• 未勾选，用户30分钟内连续5次输入错误的密码，不会锁定该用户。

锁定IP

• 勾选后，如果用户30分钟内连续5次输入错误的密码，则锁定该用户的IP，并记录在下方的黑名单IP列表里，需等待管理员确认和删除黑名单列表的IP，用户才能重新登录。
• 未勾选，用户30分钟内连续5次输入错误的密码，不会锁定该用户的IP。

长时间未登录

默认状态为关闭，管理员可开启该配置，用于自动锁定长时间未活跃的用户。

长期未活跃时间默认90天，可配置为1-365天，如果检测到用户未活跃时间超过该设定值时，系统将在每天凌晨3点自动锁定这些用户。

长度

配置用户密码的长度，支持10~64个字符。

复杂度

配置密码中数字、大小写字母、特殊符号的最少个数。

相关度

配置新密码不能与最近历史密码重复的个数，范围为0～10，0表示不进行历史密码检查。

密码不得与用户名相同

勾选后，新密码不能与用户名相同。

密码不得与用户名逆序相同

勾选后，新密码不能与用户名倒序相同。

不能使用以下密码

输入密码弱口令并回车保存，配置弱口令密码后，管理员新建/编辑用户无法使用这些密码，用户修改密码也无法使用这些密码。

密码有效期

配置密码的有效期，仅有效期内可以登录堡垒机，范围为0～360，默认为90天，0为永不过期。

过期前警告

配置密码过期的提前告警天数，系统会在这天给用户发送告警邮件，提醒密码即将过期，请尽快修改，范围为0～密码有效期天数，默认为7天，0为不提醒。

状态

启用或禁用策略。

名称

自定义策略名称，仅用于识别，不可重复。

优先级

配置策略优先级，1~99，数字越小优先级越高。

登录IP限制

配置访问的来源IP，支持白名单和黑名单。

• 选择“（黑名单）不允许以下IP”，在IP列表中填写IP地址或IP段范围，表示该范围内的IP地址不可以登录，其他IP地址均可登录。
• 选择“（白名单）只允许以下IP”，在IP列表中填写IP地址或IP段范围，表示仅该范围内的IP地址可以登录。

登录时间限制

配置允许和禁止用户登录的时段。

登录MAC限制

配置访问的来源MAC，支持白名单和黑名单，并支持阻断模式，该功能仅IE浏览器访问时有效。

• 选择“（黑名单）不允许以下Mac”，在MAC列表中填写MAC地址范围，表示该范围内的MAC地址不可以登录，其他MAC地址均可登录。
• 选择“（白名单）只允许以下Mac”，在MAC列表中填写MAC地址范围，表示仅该范围内的MAC地址可以登录。
• 开启阻断模式，若浏览器读取不到用户MAC地址，则阻断该用户登录。
• 关闭阻断模式，若浏览器读取不到用户MAC地址，则允许该用户登录。

作用范围

配置策略的生效范围，支持用户、用户组、部门。

• 添加部门：单击下拉框，选择部门节点，支持多选。
• 删除部门：单击即可删除。
• 添加用户/用户组：单击“添加”，选择添加用户/添加用户组，右侧弹出选择窗口，勾选用户/用户组，单击“确定”。
• 删除用户/用户组：勾选用户/用户组，单击“删除”。