案例说明:

默认KingbaseES V8R3用户认证采用md5加密,有的生产环境对安全要求较高,需要将md5升级到sha-256;如果口令使用 scram-sha-256 设置加密,那么它可以被用于认证方法 scram-sha-256 和 md5、password (但后一种情况中口令将以明文传输)。如果口令使用 md5 设置加密,那么它仅能用于 md5 和 password 认证方法说明(同样,后一种情况中口令以明文传输)。本案例描述了在KingbaseES V8R3单实例环境下升级md5到sha-256过程。

MD5和SHA-256简介:

1) MD5简介

MD5信息摘要算法,一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(哈希值),用于确保信息传输完整一致。2004年,证实MD5算法无法防止碰撞(collision),因此不适用于安全性认证,如SSL公开密钥认证或是数字签名等用途。对于任意长度的消息,这个摘要相当于是个长度为16个字节的数组,通常用一个长度为32的十六进制字符串来表示。

2) SHA-256简介

SHA-256信息摘要算法,也是一种密码散列函数对于任意长度的消息,SHA256都会产生一个256bit长的散列值(哈希值),用于确保信息传输完整一致,称作消息摘要。这个摘要相当于是个长度为32个字节的数组,通常用一个长度为64的十六进制字符串来表示。

适用版本:

KingbaseES V8R3

一、查看当前用户口令加密方式

# 加密方式
test=# show password_encryption ;
password_encryption
---------------------
md5
(1 row) # 用户加密后口令信息
test=# select rolname, rolpassword from sys_authid;
rolname | rolpassword
----------------------+-------------------------------------
SYS_SIGNAL_BACKEND |
SYSTEM | md53afebd0fba6df9fc2cf82c0b09926bcc
SUPERMANAGER_V8ADMIN | md5f7902af5f3f7cdcad02b5ca09320d102
SYSSSO | md506de7a576af7f2791face19665f08a10
SYSSAO | md5ce2668ef745c2a09d32010b185466e91
(5 rows)

二、配置数据库启用sha-256加密方式

1、修改kingbase.conf配置

[kingbase@node101 data]$ cat kingbase.conf |grep password
#password_encryption = md5 # md5, sha-256 or plain
password_encryption = sha-256 # md5, sha-256 or plain

2、重启数据库实例

[kingbase@node101 bin]$ ./sys_ctl restart -D /data/kingbase/v8r3_370/data/

3、连接数据库实例

[kingbase@node101 bin]$ ./ksql -U system -W 123456 test
ksql (V008R003C002B0370)
Type "help" for help. # 查看用户密码加密方式
test=# show password_encryption ;
password_encryption
---------------------
sha-256
(1 row) # 查看用户密码加密方式(默认采用md5)
test=# select rolname, rolpassword from sys_authid;
rolname | rolpassword
----------------------+-------------------------------------
SYS_SIGNAL_BACKEND |
SYSTEM | md53afebd0fba6df9fc2cf82c0b09926bcc
SUPERMANAGER_V8ADMIN | md5f7902af5f3f7cdcad02b5ca09320d102
SYSSSO | md506de7a576af7f2791face19665f08a10
SYSSAO | md5ce2668ef745c2a09d32010b185466e91
(5 rows)

4、升级用户密码

# 重新配置用户密码
test=# alter user system with password '123456';
ALTER ROLE # 查看用户加密口令
test=# select rolname, rolpassword from sys_authid;
rolname | rolpas
sword
----------------------+---------------------------------------------------------------------------------
SYS_SIGNAL_BACKEND |
SUPERMANAGER_V8ADMIN | md5f7902af5f3f7cdcad02b5ca09320d102
SYSSSO | md506de7a576af7f2791face19665f08a10
SYSSAO | md5ce2668ef745c2a09d32010b185466e91
SYSTEM | sha-256:i0txmo38ZPh2zg==:4096:081a36a8f42a6f4720c6fd5342fa8c4f1a352e2901c49bb7b5
b37b685d51cfac:5b273d277831f28ca3a6307d199d9d70f19a14615c7bb31684b36c5250403d39
(5 rows

如下所示,system用户密码已经升级为sha-256加密:

5、配置sys_hba.conf

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local all all sha-256
# IPv4 local connections:
host all all 127.0.0.1/32 sha-256
host all all 0.0.0.0/0 sha-256
# IPv6 local connections:
host all all ::1/128 sha-256
host all all ::0/0 sha-256
# Allow replication connections from localhost, by a user with the
# replication privilege.
#local replication SYSTEM sha-256
#host replication SYSTEM 127.0.0.1/32 sha-256
#host replication SYSTEM ::1/128 sha-256 # 重新加载配置文件
test=# select sys_reload_conf();
sys_reload_conf
-----------------
t
(1 row)

三、用户连接访问数据库

1、查看用户密码加密方式

[kingbase@node102 bin]$ ./ksql -h 192.168.1.101 -U system -W 123456 test
ksql (V008R003C002B0370)
Type "help" for help. test=# show password_encryption ;
password_encryption
---------------------
sha-256
(1 row)

2、用户连接数据库

[kingbase@node102 bin]$ ./ksql -h 192.168.1.101 -U system -W 123456 test
ksql (V008R003C002B0370)
Type "help" for help. test=#

Tips:

注意老的客户端可能缺少对SCRAM认证机制的支持,因此无法使用用SCRAM-SHA-256加密的口令.

四、总结

对于KingbaseES V8R3较新版本支持sha-256加密认证方式,单实例环境升级md5到sha-256较为简单;但是对于KingbaseES V8R3集群环境,注意kingbasecluster的集群之间的认证,用户不支持sha-256加密认证。

KingbaseES V8R3 运维案例 -- 单实例环境升级用户认证sha-256的更多相关文章

  1. KingbaseES V8R3 备份恢复案例之--单实例环境sys_rman脚本备份案例

    案例说明: sys_rman是KingbaseES数据库的物理备份工具,支持数据库的全备和增量备份,由于sys_rman工具使用需要配置多个参数,对于一般用户使用不是很方便.为方便用户在Kingbas ...

  2. 运维开发笔记整理-创建django用户

    运维开发笔记整理-创建django用户 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.创建普通用户 C:\Users\yinzhengjie\softwares\Pycharm ...

  3. KingbaseES V8R3集群运维案例之---用户自定义表空间管理

    ​案例说明: KingbaseES 数据库支持用户自定义表空间的创建,并建议表空间的文件存储路径配置到数据库的data目录之外.本案例复现了,当用户自定义表空间存储路径配置到data下时,出现的故障问 ...

  4. KingbaseES V8R3集群运维案例之---主库系统down failover切换过程分析

    ​ 案例说明: KingbaseES V8R3集群failover时两个cluster都会触发,但只有一个cluster会调用脚本去执行真正的切换流程,另一个有对应的打印,但不会调用脚本,只是走相关的 ...

  5. KingbaseES V8R3集群运维案例之---kingbase_monitor.sh启动”two master“案例

    案例说明: KingbaseES V8R3集群,执行kingbase_monitor.sh启动集群,出现"two master"节点的故障,启动集群失败:通过手工sys_ctl启动 ...

  6. KingbaseES V8R3集群运维案例之---cluster.log ERROR: md5 authentication failed

    案例说明: 在KingbaseES V8R3集群的cluster.log日志中,经常会出现"ERROR: md5 authentication failed:DETAIL: password ...

  7. 运维案例 | Exchange2010数据库损坏的紧急修复思路

    ​​关注嘉为科技,获取运维新知 Exchange后端数据库故障,一般都会是比较严重的紧急故障,因为这会直接影响到大面积用户的正常使用,而且涉及到用户数据.一旦遇到这种级别的故障,管理员往往都是在非常紧 ...

  8. 更优雅的配置:docker/运维/业务中的环境变量

    目录 docker-compose 环境变量 .env 文件 env_file docker stack 不支持基于文件的环境变量 envsubst envsubst.py 1. 使用行内键值对 2. ...

  9. 程序员简单打造一个灵活智能的自动化运维系统C#实例程序

    你是一个程序员,被派去管理公司500台计算机.这些机器可能需要执行一些自动化任务,一台台手动操作会把你累死.重复性的工作还是交给电脑处理,怎么解决这个问题呢?一个自动化的运维系统是必须的.自己实现的好 ...

  10. RAC环境备份,RMAN异机在单实例环境恢复redo问题

    目的:客户环境11.2.0.4 ,多节点RAC环境,现在使用带库的备份,在单机环境测试备份有效性 1.normal参数文件 删除集群相关参数cluster 2.mount 使用备份的控制文件进行还原 ...

随机推荐

  1. iptables的mangle表

    mangle表的主要功能是根据规则修改数据包的一些标志位,以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由. 使用策略路由 对应的场景, 都是有多个网口, 常见的使用步骤 1. 创建路由表 ...

  2. 【Unity3D】发射(Raycast)物理射线(Ray)

    1 前言 ​ 碰撞体组件Collider 中介绍了 2 个碰撞体之间的碰撞检测,本文将介绍物理射线与碰撞体之间的碰撞检测.物理射线由 Ray 定义,通过 Physics.Raycast / Physi ...

  3. 快速傅里叶变换(FFT)和小波分析在信号处理上的应用

    1前言 1.1傅里叶变换 函数f(t)为一元连续函数,其傅里叶变换定义为: F(w)的傅里叶逆变换定义为: 其中,i为虚数单位.由欧拉公式: 任意绝对可积的连续函数f(t),都可以用三角函数表示,由于 ...

  4. java常用包下载地址(非maven)

    httpclient与httpcore: http://hc.apache.org/downloads.cgi jdbc: https://dev.mysql.com/downloads/connec ...

  5. Flutter——安装依赖包时,出现Waiting for another flutter command to release the startup lock

    问题描述 运行 flutter packages get 时 出现 Waiting for another flutter command to release the startup lock 解决 ...

  6. SDWebImage从小白到大师蜕变

    简介 SDWebImage提供的简洁的获取远程URL图片的API:平时开发中使用最多场景就是列表中的cell中要显示远程图片的需求,在具体的实现中要避免加载图片造成的界面卡顿,列表卡顿等现象的出现:所 ...

  7. 【Azure 存储服务】存储在Azure Storage Table中的数据,如何按照条件进行删除呢?

    问题描述 如何按条件删除 Storage Table 中的数据,如果Table中有大量的条记录需要删除,Java代码如何按条件删除 Table中的数据(Entity)? (通过Azure Storag ...

  8. 使用 Docker 部署 Fiora 在线聊天室平台

    一.Fiora 介绍 Fiora 简介 Fiora 是一款开源免费的在线聊天系统. GitHub:https://github.com/yinxin630/fiora Fiora 功能 注册账号并登录 ...

  9. [VueJsDev] 日志 - 更新日志

    [VueJsDev] 目录列表 https://www.cnblogs.com/pengchenggang/p/17037320.html 更新日志 ::: details 目录 目录 更新日志 Lo ...

  10. 泰凌微TLSR825x智能照明解决方案开发之实例解析

    一 前记 前几天,看到了一个笑话,一个朋友在群里吼道,老婆送的皮带,用了半年之后,怎么里面掉出来一个电路板,这个是是啥? 笔者看了回复道,哥们,老婆不放心你啊. 在这个万物都可智能的时代,产品不加上智 ...