HANA 数据库中密码策略的相关参数

  • minimal_password_length:密码最小长度

密码必须包含的最小字符数。

缺省值 8
备注 必须输入介于 6 和 64 之间的值。
SAP HANA Studio 最短密码长度
  • Password_layout:密码类型
    密码必须包含的字符类型;每个所选字符类型至少需要一个字符
缺省值 Aa1
附加信息 缺省配置要求密码至少包含一个大写字母、至少一个数字和至少一个小写字母,特殊字符是可选的。
SAP HANA Studio 所需字符类型
  • force_first_password_change:强制首次登录密码修改

定义用户是否必须在首次登录时立即更改其初始密码。

缺省值:true

如果将此参数设置为 true,用户仍可以使用初始密码登录,但他们尝试执行的每个操作都将返回必须更改密码的错误消息。如果此参数设置为 false,则用户在首次登录时不会强制立即更改其初始密码。但是,如果用户在参数 maximum_unused_initial_password_lifetime 中指定的天数之前未更改口令,则口令仍过期,必须由用户管理员重置。

用户管理员(即具有系统权限 USER ADMIN 的用户)可以强制用户随时使用以下 SQL 语句更改其密码:

ALTER USER <user_name> FORCE PASSWORD CHANGE

用户管理员可以使用以下 SQL 语句覆盖单个用户(例如,技术用户)的密码策略设置:

CREATE USER <user_name> PASSWORD <password> [NO FORCE_FIRST_PASSWORD_CHANGE]
ALTER USER <user_name> PASSWORD <password> [NO FORCE_FIRST_PASSWORD_CHANGE]

用户必须在首次登录时更改密码

  • last_used_passwords:修改密码时重复的数量

更改当前密码时,不允许用户重用的上次使用密码的数量

缺省值:5
如果输入值 0,则用户可以重新使用其旧密码。

  • maximum_invalid_connect_attempts:允许的失败登录尝试次数

可能的最大失败登录尝试次数;达到此次数后,用户立即锁定

缺省值:6,该参数必须输入至少 1 的值。

用户管理员可以使用以下 SQL 语句重置无效登录尝试次数:

ALTER USER <user_name> RESET CONNECT ATTEMPTS

尝试登录无效后,用户首次成功登录时,将在 INVALID_CONNECT_ATTEMPTS 系统视图中创建包含以下信息的条目:

自上次成功登录以来的无效登录尝试次数。
上次成功登录的时间
用户管理员可以使用以下 SQL 语句删除有关无效登录尝试的信息:

ALTER USER <user_name> DROP CONNECT ATTEMPTS 

Recommendation创建审计策略以记录 INVALID_CONNECT_ATTEMPTS 系统视图中的活动。例如,创建记录在此视图上执行的数据查询和操作语句的审计策略。
请注意,尽管此参数对 SYSTEM 用户无效,但如果参数 password_lock_for_system_user 设置为 trueSYSTEM 用户仍将锁定。如果 password_lock_for_system_user 设置为 false,则无论登录尝试失败次数如何,SYSTEM 用户都不会锁定。

  • password_lock_time:用户被锁定的时间

当用户登录尝试失败的最大次数后,用户被锁定的分钟数

缺省值:1440分钟

如果输入值 0,则立即解锁用户。这将禁用参数 maximum_invalid_connect_attempts 的功能。
用户管理员可以重置无效登录尝试次数,并使用以下 SQL 语句重新激活用户帐户:

ALTER USER <user_name> RESET CONNECT ATTEMPTS

还可以在 SAP HANA Studio 的用户编辑器中重新激活用户。

要无限期锁定用户,请输入值 -1。在 SAP HANA Studio 的安全编辑器中,这对应于选中无限锁定复选框。如上所述,用户保持锁定状态,直到用户管理员重新激活。

  • minimum_password_lifetime:密码最小有效期

用户更改其密码之前必须经过的最短天数。

缺省值:1天,如果输入值 0,则密码没有最短有效期。

  • maximum_password_lifetime:密码最长有效期

用户密码过期前的天数。

缺省值:182天,必须输入至少 1 的值。
用户管理员可以使用以下 SQL 语句从此口令检查中排除用户,关闭用户的密码生命周期管理:

ALTER USER <user_name> DISABLE PASSWORD LIFETIME

但是,仅建议仅技术用户执行此操作,而不建议与真实人员相对应的数据库用户。

用户管理员可以使用以下 SQL 语句为用户重新启用密码生命周期检查:

ALTER USER <user_name> ENABLE PASSWORD LIFETIME。
  • maximum_unused_initial_password_lifetime:初始密码有效期天数

用户管理员为用户设置的初始密码或任何密码有效的天数。

缺省值:7,必须输入至少 1 的值。
如果用户在给定时间段内未使用初始密码登录,则密码将变为无效,您必须对其进行重置。

  • maximum_unused_productive_password_lifetime:用户不活动的最长持续时间

缺省值:365天,必须输入至少 1 的值。
如果用户在给定时间段内未使用其用户定义的口令登录,则该口令将变为无效,您必须对其进行重置。

  • password_expire_warning_time:密码过期通知

密码过期前的天数,用户收到通知

缺省值:14,通知通过数据库客户端(ODBC 或 JDBC)传输,并由客户端应用程序向用户提供此信息。
如果输入值 0,则用户不会收到其密码即将过期的通知。

系统还会监控用户密码何时到期并发出中等优先级警报(检查 62)。这对于技术数据库用户很有用,因为密码过期会导致用户被锁定,这可能会影响应用程序的可用性。建议您禁用技术用户的密码生命周期检查,以便其密码永不过期。

  • password_lock_for_system_user:免除系统用户锁定

指示是否在最大登录尝试失败次数 (maximum_invalid_connect_attempts) 后锁定用户 SYSTEM 的指定锁定时间 (password_lock_time)

缺省值:true

  • detailed_error_on_connect:详细错误登录信息返回

指示登录尝试失败时,返回的错误信息的详细级别

缺省值:false

如果设置为 false,则仅返回信息验证失败。

如果设置为 true,则返回登录失败的特定原因:

用户密码无效
用户已锁定
连接尝试不在有效期内
用户已取消激活

posted @ 2023-05-26 16:28  烟雨浮华  阅读(1250)  评论(0编辑  收藏  举报