使用密碼政策管理內建驗證

選取說明文件版本:

本頁面說明如何為 AlloyDB Omni 設定及管理密碼政策。

密碼政策簡介

如果應用程式的資料庫使用者是透過內建的密碼驗證方法,使用 AlloyDB Omni 進行驗證,您可以強制使用高強度密碼,進一步確保驗證安全。您可以設定 AlloyDB Omni 密碼政策,定義並啟用密碼強制執行功能。

密碼政策的限制

AlloyDB Omni 密碼政策有以下限制:

  • 密碼政策只會套用至您設定政策後建立的密碼。 現有使用者密碼不會受到密碼政策變更的影響。

  • 密碼政策僅適用於以純文字輸入的密碼。密碼政策不適用於以加密字串形式輸入的密碼。

設定 AlloyDB Omni 密碼政策

如要設定密碼政策,請更新 postgresql.conf 設定檔中的 Grand Unified Configuration (GUC) 密碼參數。如要瞭解如何設定 GUC 參數,請參閱「設定 AlloyDB Omni 資料庫旗標」。

AlloyDB Omni 的密碼政策可包含下列選項:

  • 禁止使用者名稱:禁止在密碼中使用使用者名稱。

  • 密碼複雜度:檢查密碼是否包含允許數量的小寫、大寫、數字和非英數字元。並檢查密碼長度是否有效。

  • 密碼到期:確保定期輪替密碼。

如需 AlloyDB Omni 支援的密碼政策標記清單,請參閱「密碼政策標記」。

預先載入密碼驗證程式庫

如要在 AlloyDB Omni 中套用密碼政策,必須載入 alloydb_password_validation 程式庫。如要載入這個程式庫,請執行下列操作:

  1. 找出 AlloyDB Omni 安裝的 postgresql.conf 設定檔,並在文字編輯器中開啟。

  2. 找出 shared_preload_libraries 行,並檢查是否包含 alloydb_password_validation。如果沒有,請新增。完成後,shared_preload_libraries 行會類似如下:

    shared_preload_libraries='google_columnar_engine,google_job_scheduler,google_storage,alloydb_password_validation'

強制使用高複雜度密碼

如要強制執行密碼複雜度政策,請按照下列步驟操作:

  1. 確認 postgresql.conf 檔案預先載入密碼驗證程式庫

  2. password.enforce_complexity 標記設為 ON

  3. 使用密碼政策標記定義密碼政策。

舉例來說,如要強制執行密碼政策,規定密碼必須包含至少一個大寫字母、一個數字,且長度至少為 10 個字元,請在 postgresql.conf 檔案中設定下列項目:

  • password.enforce_complexity = ON
  • password.min_uppercase_letters = 1
  • password.min_numerical_chars = 1
  • password.min_pass_length = 10

設定這些標記後,如果嘗試設定的資料庫使用者密碼不符合這項密碼政策,就會失敗。舉例來說,如果設定這項政策,下列 psql 用戶端指令會失敗,因為密碼 foo 少於 10 個字元,且不含數字或大寫字元。

CREATE USER USERNAME WITH PASSWORD foo;

強制設定密碼有效期限

如要強制執行密碼到期政策,請按照下列步驟操作:

  1. 確認 postgresql.conf 檔案預先載入密碼驗證程式庫

  2. password.enforce_expiration 標記設為 ON

  3. password.expiration_in_days 旗標設為密碼設定後失效的天數。

  4. password.notify_expiration_in_days 旗標設為密碼到期前天數,使用者會在該天數前開始收到密碼到期通知。

舉例來說,如要強制執行密碼政策,規定密碼會在 30 天後到期,且系統會在密碼到期前 15 天通知使用者,您必須在 postgresql.conf 檔案中設定下列項目:

  • password.enforce_expiration = ON
  • password.expiration_in_days = 30
  • password.notify_expiration_in_days = 15

如果使用者密碼過期,就無法連線至 AlloyDB Omni。如要重設使用者的密碼,請按照下列步驟操作:

  1. 使用 psql 連線至 AlloyDB Omni。舉例來說,如果您使用 Docker 安裝 AlloyDB Omni,請執行下列指令:

    docker exec -it CONTAINER-NAME psql -h localhost -U postgres

  2. postgres=# 提示字元中執行下列指令:

    ALTER USER USERNAME WITH 'NEW-PASSWORD';

如要進一步瞭解如何變更使用者密碼,請參閱 PostgreSQL 說明文件中的ALTER ROLE

禁止在密碼中加入使用者名稱

如要強制執行政策,禁止密碼包含使用者名稱,請按照下列步驟操作:

  1. 確認 postgresql.conf 檔案預先載入密碼驗證程式庫

  2. password.enforce_password_does_not_contain_username 設為 ON

舉例來說,如要確保密碼不含使用者名稱做為子字串,請在 postgresql.conf 檔案中設定以下內容:

  • password.enforce_password_does_not_contain_username = ON

如果設定這個標記,下列作業就會失敗,因為密碼 alex-secret 包含使用者名稱 alex

CREATE USER alex WITH PASSWORD 'alex-secret';

後續步驟