三权分立
三权分立¶
概述¶
支持将管理特权三权分立为三个管理员,并在初始化的时候创建数据库管理员、 安全管理员和审计管理员
- 数据库管理员
dba-
负责执行数据库日常管理和自主访问控制。
数据库管理员无强制访问控制和访问审计表的权限
默认配置
sd_enable_power_separation=on时: 不可访问用户私有模式下的对象grant/revoke权限分散到对象owner不可执行set session/reassign
- 安全管理员
sso
: 负责强制访问控制(MAC)。例如:设置和删除标记、策略等。
无创建角色和对象权限
- 审计管理员
sao-
负责数据库审计。例如:读取和修改审计系统表中的数据。
无创建角色和对象权限
用户唯一标识¶
数据库系统为用户记录唯一标识。在审计日志中通过配置 log_line_prefix %o 参数指定记录唯一标识。
登录失败控制¶
failed_login_attempts
连续失败次数,超过此次数后锁定用户账户。0 表示不控制。
参数控制¶
参数分角色控制。sso,sao可分别控制自己的参数,在pg_settings可以查到context为sso,sao。可以使用 ALTER SYSTEM SET 或 ALTER USER SET 命令修改