针对常见的目标设备类型，运维审计系统有默认的接近40种改密方式。

但是仍然会有目标设备不符合这40种的改密方式，所以需要自定义改密脚本。

自定义改密脚本仅支持TUI会话。

自定义改密需要提前准备好改密命令交互过程。

例如：

[root@101 ~]# passwd xhf

Changing password for user xhf.

New password:

BAD PASSWORD: The password is shorter than 8 characters

Retype new password:

passwd: all authentication tokens updated successfully.

网络设备改密

system-view

Enter system view, return user view with Ctrl+Z.

[sysname]aaa

[sysname-aaa]local-user h3c password cipher XXXXXXX

[sysname-aaa]quit

[sysname]quit

save

The current configuration will be written to the device.

Are you sure to continue?[Y/N]y

Now saving the current configuration to the slot 0.

(1)     进入超级管理员账户。

(2)     进入“策略配置”-“改密方式”菜单。点击“添加”。

图1 改密方式路径

图2 改密方式界面

参数说明：

·     名称：改密脚本的名称。

·     特权改密：勾选则通过特权账号进行改密。不勾选则通过改密账号进行改密。

·     简要说明：描述该改密脚本。

·     系统账号：针对指定的系统账号进行以下步骤的改密过程。留空是针对所有系统账号进行以下步骤的改密过程。

·     stepN：代表进行改密过程的交互式操作。

·     增加新步骤：增加stepN。

·     删除配置：删除该系统账号下的所有步骤。

·     增加账号配置：增加一个新账号以及其步骤。

·     标题说明：

¡     expect：等待输出匹配内容；如果匹配，就输出对应send的内容。当匹配的内容有多行时，只匹配最后一行的内容

¡     send：匹配后发送的命令；执行完此命令，会进行下一个expect的匹配。

¡     error_expect：等待错误输出时的匹配；当改密过程有错误输出，导致改密不成功，可以在这里匹配，匹配后，会终止改密过程。

¡     error_report：自定义错误报告；当匹配error_expect，改密停止时，可以自定义错误报告，便于直观查看问题。

特权账号是指目标设备上的高权限的账户，该账户可以进行高权限的操作，例如账户管理、系统管理等。

例如：linux设备的root账户、windows的administrator账户。

图3 网络设备改密举例

例如，匹配到了如下内容，将导致改密失败。需要配置“error_expect：”字段。

图4 改密出错举例

图5 配置捕获改密出错

自定义改密脚本配置好后，需要配置设备类型以及目标设备才能使用。

(1)     进入超级管理员账户。

(2)     点击“策略配置”-“设备类型”。

(3)     可以新建设备类型，或者在已存在的设备类型上更换改密方式。

图6 设备类型路径

修改改密方式为自定义的改密脚本。

图7 修改改密方式

(1)     进入配置管理员。

(2)     点击“基本控制”-“目标设备”。

(3)     编辑相应设备。

图8 目标设备路径

修改设备类型为之前配置的类型。

图9 修改设备类型

(1)     自定义改密是如何判断改密结束的？

答：所有步骤的expect内容匹配，认为改密结束。

(2)     改密过程如何调试？

答：超级管理员-策略设置-字符终端-改密调试信息。

然后重新执行改密计划，会出现调试信息。

(3)     如果一个设备每个账号的改密方式都不一样，如何配置？

答：自定义改密脚本中可以针对不同账号，设置不同的改密方式。

点击“增加账号配置”即可。

(4)     遇见特殊字符，无法匹配，怎么办？

答：这是因为特殊字符需要转义导致的。可以输入“\”，进行转义。

需要转义的字符为：*()+?/.\[=

例如：(current)

UNIX password，需转义成：\(current\)

UNIX password

(5)     设备登录等待时间较长，经常超时，怎么办？

答：可以修改“字符终端”-“自动登录超时”来延长改密的等待时间。

(6)     配置网络设备需要注意些什么？

答：一般网络设备在配置完成后，需要保存配置。需要将保存配置这个过程也加入自定义改密脚本。