HANA 数据库中密码策略的相关参数
- minimal_password_length:密码最小长度
密码必须包含的最小字符数。
| 缺省值 | 8 |
|---|---|
| 备注 | 必须输入介于 6 和 64 之间的值。 |
| SAP HANA Studio | 最短密码长度 |
- Password_layout:密码类型
密码必须包含的字符类型;每个所选字符类型至少需要一个字符
| 缺省值 | Aa1 |
|---|---|
| 附加信息 | 缺省配置要求密码至少包含一个大写字母、至少一个数字和至少一个小写字母,特殊字符是可选的。 |
| SAP HANA Studio | 所需字符类型 |
- force_first_password_change:强制首次登录密码修改
定义用户是否必须在首次登录时立即更改其初始密码。
缺省值:true
如果将此参数设置为 true,用户仍可以使用初始密码登录,但他们尝试执行的每个操作都将返回必须更改密码的错误消息。如果此参数设置为 false,则用户在首次登录时不会强制立即更改其初始密码。但是,如果用户在参数 maximum_unused_initial_password_lifetime 中指定的天数之前未更改口令,则口令仍过期,必须由用户管理员重置。
用户管理员(即具有系统权限 USER ADMIN 的用户)可以强制用户随时使用以下 SQL 语句更改其密码:
ALTER USER <user_name> FORCE PASSWORD CHANGE
用户管理员可以使用以下 SQL 语句覆盖单个用户(例如,技术用户)的密码策略设置:
CREATE USER <user_name> PASSWORD <password> [NO FORCE_FIRST_PASSWORD_CHANGE]
ALTER USER <user_name> PASSWORD <password> [NO FORCE_FIRST_PASSWORD_CHANGE]
用户必须在首次登录时更改密码
- last_used_passwords:修改密码时重复的数量
更改当前密码时,不允许用户重用的上次使用密码的数量
缺省值:5
如果输入值 0,则用户可以重新使用其旧密码。
- maximum_invalid_connect_attempts:允许的失败登录尝试次数
可能的最大失败登录尝试次数;达到此次数后,用户立即锁定
缺省值:6,该参数必须输入至少 1 的值。
用户管理员可以使用以下 SQL 语句重置无效登录尝试次数:
ALTER USER <user_name> RESET CONNECT ATTEMPTS
尝试登录无效后,用户首次成功登录时,将在 INVALID_CONNECT_ATTEMPTS 系统视图中创建包含以下信息的条目:
自上次成功登录以来的无效登录尝试次数。
上次成功登录的时间
用户管理员可以使用以下 SQL 语句删除有关无效登录尝试的信息:
ALTER USER <user_name> DROP CONNECT ATTEMPTS
Recommendation创建审计策略以记录 INVALID_CONNECT_ATTEMPTS 系统视图中的活动。例如,创建记录在此视图上执行的数据查询和操作语句的审计策略。
请注意,尽管此参数对 SYSTEM 用户无效,但如果参数 password_lock_for_system_user 设置为 true,SYSTEM 用户仍将锁定。如果 password_lock_for_system_user 设置为 false,则无论登录尝试失败次数如何,SYSTEM 用户都不会锁定。
- password_lock_time:用户被锁定的时间
当用户登录尝试失败的最大次数后,用户被锁定的分钟数
缺省值:1440分钟
如果输入值 0,则立即解锁用户。这将禁用参数 maximum_invalid_connect_attempts 的功能。
用户管理员可以重置无效登录尝试次数,并使用以下 SQL 语句重新激活用户帐户:
ALTER USER <user_name> RESET CONNECT ATTEMPTS
还可以在 SAP HANA Studio 的用户编辑器中重新激活用户。
要无限期锁定用户,请输入值 -1。在 SAP HANA Studio 的安全编辑器中,这对应于选中无限锁定复选框。如上所述,用户保持锁定状态,直到用户管理员重新激活。
- minimum_password_lifetime:密码最小有效期
用户更改其密码之前必须经过的最短天数。
缺省值:1天,如果输入值 0,则密码没有最短有效期。
- maximum_password_lifetime:密码最长有效期
用户密码过期前的天数。
缺省值:182天,必须输入至少 1 的值。
用户管理员可以使用以下 SQL 语句从此口令检查中排除用户,关闭用户的密码生命周期管理:
ALTER USER <user_name> DISABLE PASSWORD LIFETIME
但是,仅建议仅技术用户执行此操作,而不建议与真实人员相对应的数据库用户。
用户管理员可以使用以下 SQL 语句为用户重新启用密码生命周期检查:
ALTER USER <user_name> ENABLE PASSWORD LIFETIME。
- maximum_unused_initial_password_lifetime:初始密码有效期天数
用户管理员为用户设置的初始密码或任何密码有效的天数。
缺省值:7,必须输入至少 1 的值。
如果用户在给定时间段内未使用初始密码登录,则密码将变为无效,您必须对其进行重置。
- maximum_unused_productive_password_lifetime:用户不活动的最长持续时间
缺省值:365天,必须输入至少 1 的值。
如果用户在给定时间段内未使用其用户定义的口令登录,则该口令将变为无效,您必须对其进行重置。
- password_expire_warning_time:密码过期通知
密码过期前的天数,用户收到通知
缺省值:14,通知通过数据库客户端(ODBC 或 JDBC)传输,并由客户端应用程序向用户提供此信息。
如果输入值 0,则用户不会收到其密码即将过期的通知。
系统还会监控用户密码何时到期并发出中等优先级警报(检查 62)。这对于技术数据库用户很有用,因为密码过期会导致用户被锁定,这可能会影响应用程序的可用性。建议您禁用技术用户的密码生命周期检查,以便其密码永不过期。
- password_lock_for_system_user:免除系统用户锁定
指示是否在最大登录尝试失败次数 (maximum_invalid_connect_attempts) 后锁定用户 SYSTEM 的指定锁定时间 (password_lock_time)
缺省值:true
- detailed_error_on_connect:详细错误登录信息返回
指示登录尝试失败时,返回的错误信息的详细级别
缺省值:false
如果设置为 false,则仅返回信息验证失败。
如果设置为 true,则返回登录失败的特定原因:
用户密码无效
用户已锁定
连接尝试不在有效期内
用户已取消激活
