关键字:
安全;口令有效期;人大金仓;KingbaseES
概述
KingbaseES 的用户管理中含有口令有效期这一属性,用户密码过期检查就是通过设置用户密码的有效期,在用
户密码过期后限制用户登录数据库,并输入新密码的功能。
KingbaseES 通过插件的方式来进行用户密码过期检查。这种方式更为灵活,当数据库的实用场景需要进行用户
密码过期检查时,加载插件即可。而不需要该功能时,卸载插件即可。KingbaseES 中通过 1 个全局级参数配合插件
来实现用户密码过期检查。详情参见插件 identity_pwdexp 。
特性实际操作
修改 kingbase.conf 文件中 shared_preload_libraries 参数。 shared_preload_libraries = 'identity_pwdexp'. \c - system create extension identity_pwdexp; CREATE EXTENSION \c - sso show identity_pwdexp.password_change_interval; identity_pwdexp.password_change_interval -------------------------- 30 (1 row) alter system set identity_pwdexp.password_change_interval = 5; ALTER SYSTEM show identity_pwdexp.password_change_interval; identity_pwdexp.password_change_interval ------------------------------------------ 0 (1 行记录) select sys_reload_conf(); sys_reload_conf ----------------- t (1 行记录) show identity_pwdexp.password_change_interval; identity_pwdexp.password_change_interval ------------------------------------------ 5 (1 行记录) \c - system call now(); now ------------------------------- 2020-04-30 15:34:30.408304+08 (1 行记录) CREATE USER u_pwd_et PASSWORD '1234567890abC/.' VALID UNTIL ' 2020-05-01'; CREATE ROLE SELECT USENAME, VALUNTIL FROM SYS_USER WHERE USENAME ='u_pwd_et'; usename | valuntil ----------+------------------------ u_pwd_et | 2020-05-01 00:00:00+08 (1 行记录) ALTER USER u_pwd_et PASSWORD '/.1234567890abC'; 警告: user "u_pwd_et" does not be locked ALTER ROLE SELECT USENAME, VALUNTIL FROM SYS_USER WHERE USENAME = 'u_pwd_et'; usename | valuntil ----------+------------------------------- u_pwd_et | 2020-05-05 15:35:23.448381+08 (1 行记录) |
使用经验及注意事项
价值评价
通过口令有效期管理,可以增加口令的安全性,为用户的安全提供保障,防止因为长期使用同一个口令,或者历史口令泄露等带来的安全隐患。
参考资料
《KingbaseES 安全指南》
